ISO/TR 14121-2 – jak w praktyce ocenia się ryzyko

Proces oceny zgodności maszyn z wymaganiami zasdniczymi wymaga przeprowadzenia rzetelnej analizy ryzyka zgodnie z obowiązującymi normami. Bezpieczeństwo maszyn stanowi fundament w projektowaniu i eksploatacji urządzeń przemysłowych – każdy producent przed wprowadzeniem maszyny na rynek UE musi zidentyfikować zagrożenia i zmniejszyć ryzyko do akceptowalnego poziomu. Standardy, takie jak ISO 12100 (Bezpieczeństwo maszyn – ogólne zasady projektowania, ocena ryzyka i zmniejszanie ryzyka) oraz przewodnik ISO/TR 14121-2 (praktyczne metody oceny ryzyka), dostarczają ram postępowania. Z kolei normy branżowe jak PN-EN ISO 13849-1 oraz PN-EN 62061 koncentrują się na bezpieczeństwie układów sterowania i wykorzystują specyficzne metody szacowania ryzyka w celu określenia wymaganych poziomów zapewnienia bezpieczeństwa (Performance Level, SIL).

W niniejszym artykule przyjrzymy się głównym metodom analizy ryzyka stosowanym w ocenie zgodności maszyn: macierzom ryzyka, wykresom ryzyka, metodom punktowym oraz podejściom jakościowym i ilościowym. Porównamy ich założenia, wskażemy zalety i wady każdej metody oraz zilustrujemy praktyczne zastosowania (na przykładach inspirowanych dokumentacją norm, lecz odpowiednio zmodyfikowanych). Na koniec przedstawimy wskazówki, jak łączyć różne podejścia i dobierać metodę odpowiednią do typu zagrożeń, etapu projektowania oraz rodzaju maszyny.

Pamiętaj: celem analizy ryzyka jest nie tylko spełnienie wymogów formalnych dla oznakowania CE, ale przede wszystkim zapewnienie, że maszyna będzie bezpieczna w całym cyklu życia – od projektu, przez użytkowanie, aż po konserwację i wycofanie z eksploatacji. Dlatego warto dobrać metody analizy ryzyka tak, aby skutecznie zidentyfikować wszystkie zagrożenia i ocenić ryzyko w sposób systematyczny i zrozumiały dla całego zespołu.

ISO/TR 14121-2: Podstawy procesu oceny ryzyka

Zanim przejdziemy do konkretnych metod, krótko przypomnijmy etapy oceny ryzyka według normy PN-EN ISO 12100:2012.

1. Określenie zakresu i ograniczeń maszyny: Zrozumienie funkcji maszyny, jej zastosowania, granic systemu oraz użytkowników. Ustal, w jakich warunkach maszyna będzie pracować (np. środowisko, obciążenia, szkolenie personelu).
2. Identyfikacja zagrożeń: Wyszczególnienie wszystkich potencjalnych źródeł zagrożeń we wszystkich fazach życia maszyny (instalacja, normalna praca, czyszczenie, konserwacja, awarie, demontaż). Zagrożenia mogą być mechaniczne, elektryczne, termiczne, chemiczne, promieniowania, ergonomiczne itd. Ważne jest zaangażowanie zarówno projektantów, jak i przyszłych operatorów – praktyczna wiedza personelu pozwoli wykryć mniej oczywiste ryzyka.
3. Analiza i oszacowanie ryzyka: Dla każdego zidentyfikowanego zagrożenia analizujemy możliwe scenariusze wypadkowe: przyczyny zdarzenia, prawdopodobieństwo jego wystąpienia oraz skutki (konsekwencje) dla operatorów lub sprzętu. Następnie szacujemy poziom ryzyka – tu właśnie wkraczają narzędzia, o których będzie mowa dalej (macierze, wykresy, skale punktowe itp.). Celem jest przypisanie każdemu zagrożeniu “wagi” ryzyka na podstawie ocenianej częstości i ciężkości potencjalnych szkód.
4. Ocena akceptowalności ryzyka: Porównujemy oszacowane ryzyko z kryteriami akceptowalności przyjętymi w firmie lub projekcie. Np. czy dane ryzyko jest na tyle niskie, że można je tolerować, czy też wymaga redukcji? Wiele organizacji przyjmuje zasadę, że ryzyko skutkujące śmiercią lub trwałym kalectwem jest nieakceptowalne niezależnie od prawdopodobieństwa – chyba że zostaną wdrożone specjalne środki zabezpieczające.
5. Redukcja ryzyka: Dla ryzyk uznanych za zbyt wysokie wdraża się środki redukujące zgodnie z tzw. hierarchią trójstopniową z ISO 12100: (a) eliminacja zagrożeń przez projekt (rozwiązania bezpieczne z natury), (b) środki techniczne ochronne (osłony, urządzenia bezpieczeństwa), (c) środki organizacyjne i ochrony indywidualnej (instrukcje, szkolenia, PPE). Po zastosowaniu tych środków cykl analizy ryzyka powtarza się iteracyjnie, oceniając ryzyko resztkowe – aż do uzyskania akceptowalnego poziomu.

W dalszej części skupimy się na etapie szacowania ryzyka (punkt 3 powyżej), prezentując najpopularniejsze metody. Warto podkreślić, że ISO 12100 nie narzuca jednej konkretnej techniki – dopuszcza zarówno podejścia jakościowe (opisowe), jak i ilościowe (liczbowe), byleby wynik oceny pozwalał zdecydować o potrzebie redukcji ryzyka. Zgodnie z ISO/TR 14121-2 istnieje wiele równorzędnych narzędzi, a wybór zależy od specyfiki maszyny i preferencji oceniających.

Macierz ryzyka (Risk Matrix)

Macierz ryzyka to jedno z najprostszych i najczęściej stosowanych narzędzi do wizualnej oceny ryzyka. Jest to tabela (matryca), której kolumny zwykle reprezentują kategorie prawdopodobieństwa wystąpienia zdarzenia, a wiersze – kategorie ciężkości skutków (konsekwencji). Przecinając wiersz i kolumnę odpowiadającą ocenie danego zagrożenia, odczytujemy przypisany poziom ryzyka (np. niski, średni, wysoki lub kolorem: zielony, żółty, czerwony).

Jak zbudować macierz ryzyka? Najpierw definiujemy dyskretne skale obu wymiarów. Dla konsekwencji możemy przyjąć np.: 1 – obrażenia lekkie (niegroźne urazy), 2 – obrażenia wymagające pomocy medycznej, 3 – ciężkie uszkodzenie ciała lub trwałe kalectwo, 4 – ofiara śmiertelna. Dla prawdopodobieństwa zdarzenia przykładowa skala: A – bardzo rzadkie (np. „praktycznie niewyobrażalne”), B – mało prawdopodobne (raz na wiele lat), C – możliwe (kilka razy w ciągu cyklu życia maszyny), D – prawdopodobne (może zdarzać się raz na rok lub częściej), E – częste (regularnie, np. raz w miesiącu lub ciągle). W praktyce firmy dostosowują te kategorie do swoich potrzeb – ważne, by zespół oceniający wspólnie ustalił znaczenie kategorii, co zmniejszy uznaniowość.

Następnie tworzymy tabelę, przypisując poziomy ryzyka poszczególnym kombinacjom. Przykład macierzy 4×5 ilustruje poniższa matryca (kolory oznaczają typowy poziom ryzyka – zielony akceptowalny, żółty średni, czerwony wysoki):

Ciężkość skutków ↓ \ Prawdopodobieństwo →	A bardzo rzadkie	B mało prawdopodobne	C możliwe	D prawdopodobne	E częste
1 – Obrażenia lekkie (niegroźne urazy)	🟢 Niskie	🟢 Niskie	🟡 Średnie	🟡 Średnie	🟡 Średnie
2 – Obrażenia wymagające pomocy medycznej	🟢 Niskie	🟡 Średnie	🟡 Średnie	🔴 Wysokie	🔴 Wysokie
3 – Ciężkie uszkodzenie ciała lub trwałe kalectwo	🟡 Średnie	🟡 Średnie	🔴 Wysokie	🔴 Wysokie	🔴 Bardzo wysokie
4 – Ofiara śmiertelna	🟡 Średnie	🔴 Wysokie	🔴 Wysokie	🔴 Bardzo wysokie	🔴 Ekstremalnie wysokie

Legenda kolorów i poziomów ryzyka:

• 🟢 Niskie ryzyko (akceptowalne) – działania nie są wymagane lub wystarczą podstawowe środki ochronne.
• 🟡 Średnie ryzyko (umiarkowane) – należy rozważyć dalsze działania redukujące, wprowadzić dodatkowe środki ochronne, monitorowanie.
• 🔴 Wysokie/Bardzo wysokie/Ekstremalnie wysokie ryzyko – nieakceptowalne bez dodatkowych zabezpieczeń, wymagane pilne i kompleksowe działania redukcyjne.

Przykład praktycznego zastosowania macierzy ryzyka:

Zagrożenie:

Odsłonięta tarcza tnąca w pile przemysłowej.

Ocena:

• Ciężkość skutku: S4 – Ofiara śmiertelna (katastrofalne skutki).
• Prawdopodobieństwo: C – Możliwe (kilka razy w cyklu życia maszyny).

Wynik oceny na macierzy:

Przecięcie wiersza S4 i kolumny C wskazuje pole 🔴 Wysokie ryzyko.

Konsekwencja wyniku:

• Ryzyko uznane za nieakceptowalne bez dodatkowych zabezpieczeń.
• Producent musi zastosować środki ochronne, np.:
  • Osłonę na tarczę.
  • Wyłącznik bezpieczeństwa.
  • System blokad uniemożliwiający przypadkowe uruchomienie podczas czyszczenia.

Dalsze działania:

• Po wdrożeniu środków ochronnych należy przeprowadzić analizę ponownie.
• Celem jest osiągnięcie poziomu co najmniej „Średnie” lub najlepiej „Niskie”.

Przykład macierzy ryzyka (anglojęzycznej) o 4 kategoriach ciężkości skutków (I–IV) i 5 kategoriach prawdopodobieństwa (A–E). Kolorem zaznaczono wynikową ocenę ryzyka: od niskiego (L) przez średnie (M) i wysokie (H) po ekstremalnie wysokie (EH). W praktyce macierze mogą mieć różne rozmiary, np. 3×3, 5×5 itp., w zależności od potrzeb analizy.

Zalety macierzy ryzyka:

• Prostota i czytelność: Macierz jest łatwa do zrozumienia i daje graficzny obraz ryzyka nawiązujący do intuicyjnej „sygnalizacji świetlnej” (zielone – ok, czerwone – zatrzymaj). Dzięki temu bywa przydatna w komunikacji z kadrą zarządzającą i osobami nietechnicznymi – szybko pokazuje, gdzie są największe zagrożenia.
• Szybka klasyfikacja: Umożliwia szybkie przyporządkowanie priorytetów – np. które ryzyka są niskie (akceptowalne), a które wymagają pilnych działań.

Wady macierzy ryzyka:

• Subiektywny dobór kategorii: Definiowanie, co dokładnie oznacza „mało prawdopodobne” czy „poważna szkoda”, zależy od uznania zespołu. Różne osoby mogą ocenić to inaczej, co wpływa na wynik. Standaryzacja kategorii w organizacji jest kluczowa, ale pewna doza uznaniowości pozostaje.
• Ograniczona precyzja: Macierz grupuje ryzyko w szerokie przedziały. Dwa różne zagrożenia mogą otrzymać ten sam wynik (np. „średnie ryzyko”), mimo że jedno jest bliższe dolnej granicy, a drugie górnej. Bywa to zbyt ogólne podejście, jeśli potrzebna jest bardziej szczegółowa analiza lub porównanie wielu zagrożeń.

Wykres ryzyka (Risk Graph)

Wykres ryzyka to metoda graficzna, często przedstawiana w formie drzewa decyzyjnego lub logicznego diagramu. Polega na sekwencyjnej ocenie kilku parametrów ryzyka, zazwyczaj z odpowiedziami binarnymi (np. niska/wysoka, tak/nie), co prowadzi nas ścieżką do wyniku. Każdy węzeł w takim wykresie rozgałęzia się na ograniczoną liczbę opcji (najczęściej dwie), co czyni metodę przejrzystą, choć mniej szczegółową.

Wykresy ryzyka znalazły szerokie zastosowanie w normach dotyczących systemów sterowania. Przykładowo, PN-EN ISO 13849-1 (bezpieczeństwo układów sterowania maszyn) zawiera graficzny schemat oceny ryzyka, który pozwala określić wymagany Poziom zapewnienia bezpieczeństwa PLr dla funkcji bezpieczeństwa. Podobnie PN-EN 62061 (dotycząca bezpieczeństwa funkcjonalnego maszyn) używa zbliżonej koncepcji dla określenia wymaganego poziomu nienaruszalności bezpieczeństwa SIL. W obu przypadkach oceniamy kolejno następujące czynniki:

1. S (Severity) – ciężkość potencjalnej szkody: np. S1 = lekka lub odwracalna kontuzja, S2 = ciężka kontuzja (nieodwracalna) lub śmierć.
2. F (Frequency/Exposure) – częstość i czas ekspozycji na zagrożenie: np. F1 = rzadko lub krótkotrwała ekspozycja, F2 = często lub długotrwała ekspozycja.
3. P (Possibility of Avoidance) – możliwość uniknięcia zagrożenia lub ograniczenia szkód: np. P1 = możliwe do uniknięcia przy sprzyjających okolicznościach (operator ma szansę zareagować), P2 = praktycznie niemożliwe do uniknięcia (zdarzenie jest nagłe lub nieuchronne).
4. (Opcjonalnie) W/Pr (Probability of occurrence) – prawdopodobieństwo wystąpienia niebezpiecznego zdarzenia: ten parametr bywa jawnie uwzględniany np. w IEC 62061 jako niezależny czynnik (oznaczany Pr), obok częstotliwości ekspozycji i możliwości uniknięcia. W praktyce w metodzie ISO 13849-1 jest on pośrednio brany pod uwagę przy ocenie F i P.

Na podstawie powyższych ocen, podążając ścieżką na wykresie, dochodzimy do wyniku – najczęściej określonego poziomu ryzyka lub kategorii wymaganych zabezpieczeń. Dla ISO 13849-1 wynikiem jest wymagany Performance Level (PLr) od a do e (gdzie a oznacza najniższy wymagany poziom niezawodności układu sterowania, a e najwyższy). Z kolei w ISO 14121-2 spotyka się wykres dający wskaźnik ryzyka w skali liczbowej, np. od 1 do 6 – wartości 1–2 oznaczają małe ryzyko, a wyższe wskazują potrzebę dalszych działań redukcyjnych.

START
  │
  ├─ Ciężkość skutku (S)
  │   ├─ S1: lekka kontuzja (odwracalna)
  │   │   └─ Częstość ekspozycji (F)
  │   │       ├─ F1: rzadko lub krótkotrwale
  │   │       │   └─ Możliwość uniknięcia (P)
  │   │       │       ├─ P1: możliwe uniknięcie → PLr = a
  │   │       │       └─ P2: uniknięcie trudne → PLr = b
  │   │       └─ F2: często lub długotrwale
  │   │           └─ Możliwość uniknięcia (P)
  │   │               ├─ P1: możliwe uniknięcie → PLr = b
  │   │               └─ P2: uniknięcie trudne → PLr = c
  │   └─ S2: ciężkie obrażenia (nieodwracalne) lub śmierć
  │       └─ Częstość ekspozycji (F)
  │           ├─ F1: rzadko lub krótkotrwale
  │           │   └─ Możliwość uniknięcia (P)
  │           │       ├─ P1: możliwe uniknięcie → PLr = c
  │           │       └─ P2: uniknięcie trudne → PLr = d
  │           └─ F2: często lub długotrwale
  │               └─ Możliwość uniknięcia (P)
  │                   ├─ P1: możliwe uniknięcie → PLr = d
  │                   └─ P2: uniknięcie trudne → PLr = e

Przykład zastosowania wykresu ryzyka: Rozważmy zagrożenie, że robot przemysłowy uderzy człowieka, jeśli ten wejdzie do strefy pracy robota przy braku odpowiednich zabezpieczeń. Stosujemy metodę z ISO 13849-1, oceniając dla takiego scenariusza: S = S2 (poważne obrażenia lub śmierć), F = F2 (częsty dostęp – np. operator często wchodzi do celi, a robot pracuje wiele godzin dziennie), P = P2 (uniknięcie zagrożenia jest mało prawdopodobne – robot porusza się szybko i nie da czasu na ucieczkę). Przechodząc przez wykres ryzyka z normy, kombinacja (S2, F2, P2) prowadzi do wymaganego PLr = e – najwyższy poziom zabezpieczenia. Oznacza to, że musimy zaimplementować bardzo niezawodne środki bezpieczeństwa (np. kurtyny świetlne o najwyższej kategorii lub zamki drzwiowe z nadzorem, redundancję układów sterujących itp.), aby zredukować ryzyko uderzenia przez robota do akceptowalnego poziomu. Dla porównania, jeśli scenariusz byłby mniej krytyczny – np. robot o niewielkiej sile, rzadko dostępny dla ludzi – ocena (S1, F1, P1) mogłaby dać wynik PLr = c lub niższy, co oznacza mniejsze wymagania co do złożoności zabezpieczeń.

START → S2 → F2 → P2 → PLr = e

Zalety wykresu ryzyka:

• Logiczna, wymuszona struktura analizy: Wykres prowadzi użytkownika krok po kroku przez kluczowe pytania o zagrożenie. To zapewnia systematyczność – nie pominiemy istotnego czynnika. Metoda ta jest często przygotowana przez ekspertów (np. twórców norm) pod kątem typowych maszyn, dzięki czemu stanowi dobrą praktykę branżową.
• Wspólne rozumienie kategorii: Ponieważ wartości (np. S1/S2, F1/F2, P1/P2) są zdefiniowane w normie, zespół może się do nich odwołać, co ogranicza spory interpretacyjne. W efekcie różne osoby stosujące ten sam wykres powinny dojść do podobnych wniosków dla analogicznych zagrożeń.
• Bezpośrednie powiązanie z wymaganiami bezpieczeństwa: Wynik w postaci PLr lub SIL od razu informuje projektanta, jak zaawansowane środki techniczne muszą zostać zastosowane. To łączy analizę ryzyka z kryteriami projektowania (np. doborem architektury układu sterowania, poziomu niezawodności komponentów).

Wady wykresu ryzyka:

• Ograniczona skala szczegółowości: Metoda ta z reguły operuje tylko kilkoma kategoriami (np. dwie opcje dla S, F, P). To oznacza, że różnorodne scenariusze mogą zostać uproszczone do tych samych kategorii. Wykres klasyfikuje ryzyko zgrubnie, dając np. wynik “wysokie/średnie/niskie” lub wymagany poziom zabezpieczeń, ale nie wskaże drobnych różnic między ryzykami o tej samej kategorii.
• Brak jawnej wartości liczbowej: O ile macierz czy metoda punktowa może dać względny „score”, wykres zwykle kończy na etykiecie (np. PLr = d). Trudniej tu porównywać wiele różnych zagrożeń między sobą, bo wyniki są jakościowe, nie pokazują „jak bardzo” jedno ryzyko jest większe od drugiego – poza inną ścieżką w drzewku.
• Specyficzność zastosowań: Wykresy są często dedykowane konkretnym normom lub branżom. Wykres z ISO 13849-1 dotyczy głównie ryzyka związanego z wadliwym działaniem układu sterowania. Do oceny innego rodzaju ryzyk (np. ergonomicznych, hałasu) może nie być bezpośrednio przydatny. Bywa więc, że różne wykresy stosuje się w zależności od rodzaju zagrożeń.

Metody punktowe (ocena punktowa ryzyka)

Metody punktowe, zwane też risk scoring lub metodami numerycznymi, polegają na przypisaniu wartości liczbowych kategoriom ryzyka, a następnie obliczeniu z nich wskaźnika ryzyka. W praktyce jest to rozwinięcie idei macierzy: zamiast posługiwać się jedynie opisami czy kolorami, każdej kategorii (np. prawdopodobieństwa, skutku, ekspozycji) nadajemy określoną liczbę punktów. Później łączymy te punkty – często przez mnożenie lub sumowanie – aby uzyskać ostateczną wartość. Taka wartość pozwala uszeregować zagrożenia od największego ryzyka do najmniejszego oraz ustanowić progi akceptowalności.

Najczęściej stosowanym wzorem jest mnożenie kilku czynników, na przykład:

Risk Score=P×S×E

gdzie:

• P (Probability) – punktowa ocena prawdopodobieństwa wystąpienia zagrożenia (np. w skali 1–5, gdzie 1 to prawie nigdy, 5 to bardzo często)
• S (Severity) – punktowa ocena ciężkości skutków (np. 1 – szkoda znikoma, 5 – śmierć lub katastrofa)
• E (Exposure) – punktowa ocena ekspozycji, czyli częstości lub czasu narażenia na zagrożenie (np. 1 – kontakt sporadyczny, 5 – ciągły/dzienny kontakt)

Niektóre warianty metod punktowych używają innych czynników – na przykład Avoidance (A), czyli uwzględnienia możliwości uniknięcia zdarzenia przez operatora, lub Detectability (D), czyli możliwości wykrycia zagrożenia zanim wyrządzi szkodę. Ogólna idea pozostaje jednak taka sama: końcowy wynik Risk Score to pewna liczba (np. z zakresu 1–100 lub 1–1000), która im wyższa, tym oznacza większe ryzyko.

Aby metoda była użyteczna, trzeba zdefiniować przedziały wyników odpowiadające poziomom ryzyka. Przykładowo, zakład może ustalić: wynik 1–20 = ryzyko niskie (akceptowalne), 21–50 = średnie (wymaga monitorowania i poprawy jeśli to łatwo osiągalne), >50 = wysokie (nieakceptowalne, konieczne natychmiastowe działania). Takie progi powinny wynikać z polityki bezpieczeństwa firmy oraz z rozsądnej analizy (np. mogą być kalibrowane na podstawie wcześniejszych ocen ryzyka).

Przykład zastosowania metody punktowej: Weźmy zagrożenie poparzeniem dłoni o gorący element maszyny (np. nagrzewający się do 150°C blok grzejny, z którym operator może się przypadkowo zetknąć). Stosujemy prosty model punktowy P×S×E:

• Ciężkość skutku (S): Poparzenie może być dotkliwe, ale raczej nie zagraża życiu – oceniamy jako 3 w skali 1–5 (obrażenie średnie, np. poważne oparzenie wymagające opieki medycznej, ale bez trwałych następstw).
• Prawdopodobieństwo (P): Czy do kontaktu z gorącym elementem może dochodzić często? Załóżmy, że element jest w trudno dostępnym miejscu, więc przypadkowy dotyk jest rzadki, ale jednak możliwy np. podczas konserwacji – dajemy 2 (w skali 1–5, odpowiadającej „mało prawdopodobne”).
• Ekspozycja (E): Jak często operator jest w pobliżu tego elementu? Jeśli maszyna pracuje codziennie, a operator musi co godzinę wymieniać materiał w pobliżu nagrzewnicy, to ekspozycję można uznać za częstą – dajmy 4 (w skali 1–5, gdzie 5 to stała ekspozycja, a 4 to częsta, np. wiele razy dziennie).

Obliczamy Risk Score = 3 × 2 × 4 = 24. Teraz interpretujemy wynik: przy założeniu progu np. >20 jako ryzyka wysokiego, wartość 24 wskazuje, że ryzyko jest nieakceptowalne lub co najmniej „istotne”. Firma powinna zatem podjąć działania – np. dodać osłonę termiczną, zastosować izolację elementu grzejnego lub wyposażyć operatora w odpowiednie rękawice i przeszkolić go. Po wdrożeniu tych środków ponowna ocena punktowa mogłaby spaść (np. zmniejszenie ekspozycji dzięki osłonie – E z 4 na 1, co dałoby nowy Risk Score 3×2×1 = 6, czyli ryzyko niskie).

Warto zauważyć, że liczba 24 sama w sobie nie ma jednostki ani bezwzględnego znaczenia – nabiera sensu dopiero na tle ustalonych kryteriów (tu: 24 przekracza próg akceptacji) oraz w porównaniu z wynikami dla innych zagrożeń. Na przykład, jeśli inne zagrożenia w tej maszynie mają wyniki rzędu 5–10, a jedno ma 24, wiemy, czemu nadać priorytet.

Zalety metody punktowej:

• Większa precyzja względna: W przeciwieństwie do „sztywnych” kategorii w macierzy, Risk Score pozwala wyróżnić różnice pomiędzy ryzykami. Wynik 24 vs 18 vs 36 daje więcej informacji niż po prostu „średnie” vs „wysokie”. Ułatwia to usystematyzowane porównanie zagrożeń oraz ustalanie priorytetów działań
• Redukcja subiektywizmu dzięki liczbowym kryteriom: Sam wybór ocen cząstkowych jest subiektywny, ale posługiwanie się liczbami wymusza pewną konsekwencję. Jeżeli zdefiniujemy jasno skalę (np. co oznacza 1, a co 5 dla każdego czynnika) i będziemy jej przestrzegać, to oceny staną się bardziej obiektywne w ramach organizacji. Decyzje typu „czy 24 to akceptowalne ryzyko?” są również prostsze, bo można odwołać się do uzgodnionych progów – dyskusja jest mniej emocjonalna, a bardziej rzeczowa.
• Przydatność przy dużej liczbie zagrożeń: W złożonych projektach, gdzie identyfikujemy dziesiątki potencjalnych zagrożeń, lista posortowana malejąco wg Risk Score jasno wskaże, czym zająć się najpierw. To ułatwia zarządzanie ryzykiem i alokację zasobów (czasu, pieniędzy) na środki bezpieczeństwa tam, gdzie są najbardziej potrzebne.

Wady metody punktowej:

• Konieczność kalibracji i odpowiedniej skali: Aby metoda działała, skale punktowe muszą być dobrze przemyślane. Co więcej, organizacja powinna je dopasować do swojej specyfiki – np. inna będzie skala dla ryzyka projektowego, a inna dla bezpieczeństwa maszyn. Trzeba też przeszkolić zespół, by wszyscy podobnie rozumieli wartości. To wymaga pewnego wysiłku i dyscypliny w stosowaniu ustalonych reguł
• Pozorna dokładność: Choć liczby sugerują precyzję, nie zapominajmy, że są one wciąż oparte na subiektywnej ocenie ekspertów. Różnica między zagrożeniem ocenionym na 15 a 16 punktów może w praktyce być wątpliwa – to nie pomiar fizyczny, tylko szacunek. Istnieje ryzyko, że uzyskanie “jednego numerka” zaciemni obraz – ludzie mogą przywiązywać zbyt dużą wagę do samej liczby, zapominając o kontekście. Dlatego wynik punktowy zawsze należy interpretować jakościowo i z pewnym krytycyzmem
• Złożoność przy wielu czynnikach: Rozbudowane metody (np. HRN – Hazard Rating Number) mogą uwzględniać 4 czy 5 czynników i generować bardzo szeroki zakres wyników. To daje teoretycznie dokładniejszy obraz, ale staje się mniej przejrzyste dla użytkownika. Dodanie kolejnych parametrów (np. wykrywalność, możliwość uniknięcia itp.) zwiększa wysiłek potrzebny do oceny każdego zagrożenia i może utrudnić komunikację wyników osobom postronnym.

Prawdopodobieństwo (P)	Punkty
Bardzo rzadko (praktycznie niemożliwe)	1
Mało prawdopodobne (raz na wiele lat)	2
Możliwe (raz na kilka lat)	3
Prawdopodobne (raz w roku lub częściej)	4
Bardzo prawdopodobne (często)	5

Ciężkość skutków (S)	Punkty
Znikome, lekkie obrażenia (bez opieki medycznej)	1
Umiarkowane obrażenia (wymagana pomoc medyczna)	2
Poważne obrażenia, długotrwałe skutki	3
Bardzo poważne obrażenia, trwałe kalectwo	4
Śmierć lub katastrofa	5

Ekspozycja (E)	Punkty
Bardzo rzadki kontakt (raz w cyklu życia maszyny)	1
Rzadki kontakt (kilka razy w cyklu życia maszyny)	2
Sporadyczny kontakt (kilka razy w roku)	3
Częsty kontakt (co tydzień lub co miesiąc)	4
Stały kontakt (codzienny lub ciągły)	5

Wartość Risk Score	Poziom ryzyka	Działanie
1–20	🟢 Niskie (akceptowalne)	Standardowe środki bezpieczeństwa są wystarczające.
21–50	🟡 Średnie (wymaga uwagi)	Monitorowanie, możliwe dodatkowe środki ochronne.
>50	🔴 Wysokie (nieakceptowalne)	Konieczne natychmiastowe środki redukcji ryzyka.

Praktyczny przykład zastosowania

Zagrożenie: Poparzenie dłoni operatora o gorący element maszyny (blok grzejny 150°C).

Ocena zagrożenia:

• P (Prawdopodobieństwo): Element trudno dostępny, kontakt możliwy tylko sporadycznie (konserwacja), ocena: 2
• S (Ciężkość skutku): Średnie obrażenia, wymagające opieki medycznej, bez trwałych następstw, ocena: 3
• E (Ekspozycja): Operator często znajduje się w pobliżu elementu (codziennie, co godzinę), ocena: 4

Risk Score = P × S × E = 2 × 3 × 4 = 24

Interpretacja wyniku:

• Risk Score = 24, czyli ryzyko średnie (🟡), wymaga dodatkowych środków ochronnych lub monitorowania.

Działania zaradcze:

• Montaż izolacji termicznej lub osłony.
• Zapewnienie odpowiednich rękawic ochronnych.
• Szkolenie operatorów.

Ponowna ocena ryzyka po wdrożeniu środków:
Ekspozycja spada np. z 4 na 1 (rzadki kontakt):

Nowy Risk Score = 2 × 3 × 1 = 6, czyli ryzyko niskie (🟢).

ISO/TR 14121-2: Podejście jakościowe vs ilościowe w analizie ryzyka

W analizie ryzyka maszyn możemy wyróżnić dwa ogólne podejścia: jakościowe (qualitative) i ilościowe (quantitative). W praktyce większość metod opisywanych wyżej mieści się gdzieś pomiędzy tymi skrajnościami – ale warto zrozumieć, czym się różnią:

• Metody jakościowe opierają się na opisowych kategoriach i eksperckim osądzie. Wynikiem jest zazwyczaj pewna klasa ryzyka (np. „niskie”, „umiarkowane”, „wysokie”) lub konieczne działanie („akceptowalne” vs „nieakceptowalne”). Przykładem czysto jakościowego podejścia jest opisowe stwierdzenie: „ryzyko porażenia prądem uznano za wysokie, ponieważ skutki są poważne, a ekspozycja częsta, mimo że prawdopodobieństwo jest umiarkowane”. Macierze ryzyka i wykresy ryzyka w większości zaliczają się do tej grupy – posługujemy się słownymi określeniami lub symbolami literowymi, a nie konkretnymi liczbami. Zaleta: łatwość zrozumienia przez wszystkich uczestników procesu (każdy intuicyjnie pojmuje, co znaczy „ryzyko wysokie” bardziej niż np. „ryzyko = 3,7×10^-5”!). Ponadto podejście jakościowe jest jedynym możliwym, gdy brak danych liczbowych – co w przypadku nowych maszyn czy rzadkich zdarzeń jest częste. Wada: wyniki jakościowe są trudniej porównywalne i mogą być subiektywne. Dwaj eksperci mogą różnie ocenić to samo ryzyko opisowo, podczas gdy liczba wymusiłaby uśrednienie ich opinii.
• Metody ilościowe dążą do wyrażenia ryzyka w wartościach liczbowych, często w absolutnych jednostkach (np. prawdopodobieństwo 1 na milion operacji, oczekiwana częstość wypadku 0,001/rok, oczekiwany koszt strat w zł). W pełni ilościowa analiza ryzyka stara się wykorzystać dane – statystyki awarii, częstość wypadków w branży, dane dotyczące niezawodności komponentów – by obiektywnie wyliczyć ryzyko. Przykładem może być: „prawdopodobieństwo awarii czujnika i jednoczesnego niezadziałania hamulca bezpieczeństwa wynosi 2,3 × 10^-8 na godzinę pracy; biorąc pod uwagę 2000 h pracy rocznie, ryzyko śmiertelnego wypadku to ~4,6 × 10^-5 rocznie, czyli mniej niż kryterium $10^{-4}$/rok – uznajemy ryzyko za akceptowalne.” Takie podejście pojawia się np. przy analizie bezpieczeństwa funkcjonalnego (liczenie PFH – Probability of a Dangerous Failure per Hour dla układów sterowania) czy w ocenie ryzyka procesowego metodami typu LOPA, gdzie ryzyko wyraża się liczbowo. Zalety: daje wrażenie dużej precyzji i możliwość porównania z formalnymi kryteriami (np. poziomami ALARP, czy wymaganiami prawnymi jeśli takie istnieją). Umożliwia też optymalizację koszt-efekt – można oszacować, ile statystycznie „kosztuje” dane ryzyko i czy opłaca się je dalej redukować. Wady: pełna analiza ilościowa jest czasochłonna i wymaga danych, które nie zawsze są dostępne. W przypadku wielu maszyn brak dokładnych statystyk awaryjności czy wypadkowości – wtedy liczby mogą być oparte na zgadywaniu, co odbiera sens takim obliczeniom. Ponadto pozorna obiektywność może być złudna: modelowanie ryzyka często wymaga upraszczających założeń, a końcowy wynik bywa obarczony niepewnością rzędu kilku rzędów wielkości (mimo że wyświetla wiele cyfr znaczących). Normy maszynowe w zdecydowanej większości nie wymagają pełnej ilościowej oceny – dopuszczają ją, lecz wskazują, że słowny opis ryzyka jest zwykle łatwiejszy do zrozumienia niż operowanie wskaźnikami liczbowymi.

W praktyce analizy ryzyka maszyn często stosuje się podejście półilościowe (semi-quantitative), czyli np. metodę punktową, która przypisuje liczby kategoriom jakościowym, ale nie twierdzi, że są to „prawdziwe” prawdopodobieństwa czy koszty. Daje to nieco większą rozdzielczość oceny niż czysto opisowe kategorie, jednocześnie unikając udawanej dokładności. Dobór podejścia powinien uwzględniać potrzeby projektu: jeśli wymagane jest udokumentowanie zgodności z normami (np. wyliczenie PL lub SIL dla układu sterowania), trzeba sięgnąć po metody wskazane w normie (zwykle jakościowe lub punktowe). Jeśli jednak firma stawia na wewnętrzne szacowanie ryzyka w ujęciu biznesowym, może pokusić się o bardziej ilościowe analizy dla kluczowych zagrożeń.

ISO/TR 14121-2: Łączenie metod i dobór odpowiedniego podejścia

Nie ma jednej uniwersalnej metody analizy ryzyka dobrej dla każdego przypadku. Doświadczeni inżynierowie bezpieczeństwa często łączą różne podejścia, aby uzyskać pełniejszy obraz i podjąć trafniejsze decyzje. Poniżej kilka wskazówek kiedy stosować którą metodę oraz jak je łączyć:

• Etap koncepcyjny projektu (wczesne projektowanie): Na początku, gdy maszyna jest na etapie szkicu lub prototypu, zwykle brakuje szczegółowych danych liczbowych. Tutaj sprawdzają się szybkie, jakościowe metody – np. burza mózgów z macierzą ryzyka dla zidentyfikowanych zagrożeń. Macierz pomoże wyłapać najbardziej krytyczne obszary już na starcie. Można też posłużyć się listą kontrolną zagrożeń z ISO 12100 i do każdego zagrożenia dopisać ocenę w kategoriach „niskie/średnie/wysokie ryzyko”. Na tym etapie ważniejsze jest, by nie pominąć żadnego zagrożenia, niż by precyzyjnie oszacować prawdopodobieństwo – dlatego metody opisowe w zupełności wystarczą. Wyniki takiej wstępnej analizy mogą wpłynąć na decyzje projektowe (np. zmiana układu maszyny, dodanie osłony już w konstrukcji, zmniejszenie prędkości ruchu jeśli ryzyko wysokie).
• Etap projektowania szczegółowego: Gdy znamy już więcej danych o maszynie – jej parametry techniczne, czasy cykli, planowane środki bezpieczeństwa – warto przeprowadzić dokładniejszą analizę. Tu do gry może wejść metoda punktowa. Nadaje się do przeanalizowania dziesiątek konkretnych zagrożeń w systematyczny sposób. Pozwala też porównać różne warianty rozwiązań: np. jeśli zastanawiamy się, czy zastosować osłonę stałą czy kurtynę świetlną, możemy oszacować Risk Score dla scenariuszy z jednym i drugim środkiem – to pokaże, który lepiej redukuje ryzyko. W trakcie projektowania szczegółowego często korzysta się również z wykresów ryzyka dla funkcji bezpieczeństwa. Dla każdej identyfikowanej funkcji (np. zatrzymanie awaryjne, wyłączenie napędu po otwarciu drzwi osłony, ograniczenie prędkości w trybie nastawczym) stosujemy wykres z ISO 13849-1 lub IEC 62061 w celu określenia wymaganego PLr/SIL. Te informacje następnie wpływają na dobór komponentów (np. czy wystarczy przekaźnik bezpieczeństwa kategorii 2 PL=c, czy potrzebny sterownik dual-channel PL=e). W efekcie, w jednym projekcie równolegle stosujemy różne metody: ogólną ocenę ryzyka macierzą/punktowo dla całości maszyny oraz dedykowane wykresy dla specyficznych zagrożeń wymagających kontrolowanych systemów bezpieczeństwa.
• Maszyny o złożonych, różnorodnych zagrożeniach: Jeśli mamy do czynienia z rozbudowaną instalacją (np. zintegrowana linia produkcyjna, roboty współpracujące, maszyny z wieloma podsystemami), jedna metoda może nie wystarczyć. Przykład: w linii pakowania mogą jednocześnie występować poważne zagrożenia mechaniczne (np. zmiażdżenie przez chwytak robota), zagrożenia elektryczne (rozdzielnia wysokonapięciowa), zagrożenia ergonomiczne (ręczne podnoszenie ciężarów) i zagrożenia programowe/cybernetyczne (błędne oprogramowanie sterujące). W takiej sytuacji warto:
  • Dla zagrożeń mechanicznych/elektrycznych – zastosować macierz lub scoring do oceny ryzyka i wskazania potrzeby osłon, blokad, lock-out itp.Dla zagrożeń związanych z układem sterowania (np. awaria czujnika prowadząca do kolizji) – wykorzystać wykres ryzyka z norm do uzyskania PLr/SIL, co przekłada się na wymagania dot. architektury systemu sterowania.Dla ryzyk ergonomicznych – oprzeć się bardziej na ocenie jakościowej (np. skorzystać z norm ergonomicznych czy wytycznych BHP, bo trudno tu o liczby; można użyć macierzy ryzyka, ale z naciskiem na konsultację z personelem, ankiety obciążenia itp.). Dla ryzyk cyfrowych/IT – rozważyć osobne podejścia (analiza typu cybersecurity, FMEA oprogramowania), bo klasyczne macierze bezpieczeństwa mogą nie uchwycić np. ryzyka zhakowania systemu. W razie potrzeby, takie ryzyka mogą być oceniane oddzielnie przez specjalistów IT, a ich wnioski włączone do ogólnej analizy.
  Końcowym efektem będzie kompletny obraz ryzyka. Ważne, aby wszystkie oceny zebrać w spójnym raporcie, np. w postaci tabelarycznej listy zagrożeń z kolumnami: opis zagrożenia, metoda oceny (macierz/wykres/Punktacja), wynik oceny, środki redukcji, ryzyko po redukcji. Dzięki temu audytor czy osoba weryfikująca zgodność maszyny zobaczy, że żaden rodzaj ryzyka nie został pominięty i że zastosowano odpowiednie techniki analizy dla każdego z nich.
• Uwzględnianie danych i statystyk: Gdy dysponujemy rzeczywistymi danymi (np. częstość awarii podobnych maszyn, statystyki wypadków z literatury, dane od dostawców komponentów o niezawodności), warto włączyć je do oceny, ale z rozwagą. Można np. użyć danych liczbowych, by uzasadnić oceny jakościowe: „częstotliwość zdarzenia oceniamy jako wysoką, bo w zakładach o podobnym procesie notowano 5 wypadków rocznie na 100 maszyn”. Jeśli firma ma politykę ALARP (as low as reasonably practicable) lub określone limity ryzyka tolerowanego, wtedy analiza ilościowa może być wymagana, aby wykazać, że prawdopodobieństwo katastrofy jest poniżej np. $10^{-6}$ na rok. W praktyce maszynowej rzadko jednak posługujemy się takimi rygorystycznymi kryteriami jak np. w przemyśle chemicznym czy lotniczym. Kluczem jest zdrowy rozsądek: tam gdzie można, użyjmy danych (bo uwiarygadniają analizę), ale nie bójmy się polegać na ocenie eksperta tam, gdzie danych brak. Kombinacja: ekspertyza inżynierska + dostępne informacje statystyczne daje najlepsze rezultaty.
• Iteracyjność i weryfikacja wyników: Po wdrożeniu środków bezpieczeństwa, zawsze wróć do analizy ryzyka. Często wykorzystuje się wtedy tę samą metodę, ale już z uwzględnieniem nowych zabezpieczeń. Np. jeśli początkowo scoring dał 60 (wysokie ryzyko) i wprowadzono środki, to ponowny scoring może wyjść 15 (niskie ryzyko), co dokumentuje skuteczność podjętych działań. Warto też korzystać z więcej niż jednej metody dla kluczowych zagrożeń: jeżeli macierz wskazała ryzyko na granicy akceptowalności, można niezależnie przeliczyć scoring albo ocenić wykresem – jeśli każda metoda potwierdza, że jest ok, mamy większą pewność. Gdy wyniki metod się rozbiegają, należy to przeanalizować (może kategorie w macierzy były źle dobrane, albo punktacja zafałszowała obraz?) i ewentualnie przyjąć bardziej zachowawczy wniosek.
• Rodzaj maszyny a wybór metody: Dla prostych maszyn (np. mała prasa, wiertarka stołowa) zazwyczaj wystarcza prosta macierz ryzyka lub nawet lista kontrolna zagrożeń z ocenami opisowymi. Dla maszyn prototypowych, unikalnych – gdzie nie ma utartych schematów zabezpieczeń – lepiej zastosować szerszy wachlarz metod: macierz do identyfikacji ogólnych problemów, scoring do uporządkowania priorytetów i wykresy dla tych kwestii, gdzie trzeba zaprojektować układ bezpieczeństwa. Maszyny seryjne (produkowane w dużej liczbie egzemplarzy) często mają już wypracowane analizy – tu warto trzymać się spójnej metody (np. w całej firmie używamy jednolitej punktacji), aby kolejne oceny były porównywalne. Natomiast linie technologiczne (gdzie integruje się wiele maszyn) mogą wymagać dzielonej analizy: najpierw ocena ryzyka na poziomie każdej maszyny osobno, a potem dodatkowo analiza ryzyka całego systemu zintegrowanego (uwzględniająca np. ryzyka przenoszenia elementów między maszynami, kolizji robotów ze sobą, awarii kaskadowych). Tę drugą często wykonuje się w formie warsztatu HAZOP lub po prostu kolejnej macierzy ryzyka dla scenariuszy globalnych.

Podsumowując, łączenie metod to najlepsza praktyka, bo każda metoda ma nieco inny punkt widzenia. Macierz czy wykres mogą pokazać ogólny obraz i minimalne wymagania, a scoring czy analiza ilościowa doprecyzować szczegóły i pomóc w decyzjach ekonomicznych (gdzie najbardziej opłaca się inwestować w bezpieczeństwo). Ważne jest, by zachować spójność dokumentacji – jasno notować, jaką metodą oceniono dane zagrożenie i dlaczego wybrano akurat ją. Dzięki temu audytor oceny zgodności (np. jednostka notyfikowana sprawdzająca dokumentację CE) będzie widział, że analiza została wykonana kompetentnie i wszechstronnie, zgodnie z duchem norm i dobrymi praktykami inżynierskimi.

Analiza ryzyka to serce procesu oceny zgodności maszyny, obowiązkowe według Dyrektywy Maszynowej/Maszynowego Rozporządzenia UE oraz norm zharmonizowanych. Pozwala ona projektantom zidentyfikować zagrożenia, oszacować związane z nimi ryzyko i podjąć środki zmniejszające ryzyko zanim jeszcze dojdzie do wypadku.

Nie istnieje jedna „najlepsza” metoda – każda ma swoje mocne i słabe strony. Dlatego umiejętność inżyniera bezpieczeństwa polega na doborze narzędzia odpowiedniego do zadania: czasem wystarczy prosta macierz, innym razem potrzeba drobiazgowego scoringu lub analizy SIL. Często najlepsze rezultaty daje kombinacja metod, gdzie jedne uzupełniają drugie. Na przykład, możemy zacząć od jakościowej identyfikacji zagrożeń, potem ilościowo (punktowo) ocenić najważniejsze z nich, a dla kwestii związanych z układem sterowania skorzystać z wykresów normatywnych – tym sposobem żaden aspekt nam nie umknie.

Na koniec pamiętajmy: celem nie jest samo w sobie wypełnienie tabelki czy wykresu, ale faktyczna poprawa bezpieczeństwa. Analiza ryzyka ma charakter iteracyjny i kreatywny. Zachęca do zadawania pytań „co, jeśli…?” i szukania rozwiązań eliminujących zagrożenia u źródła. Metody, które tu opisaliśmy, są narzędziami pomagającymi w usystematyzowaniu tych działań. Stosując je, trzymajmy się zasad norm (ISO 12100 i powiązanych) oraz dobrej inżynierskiej praktyki, a także angażujmy w proces wiele perspektyw (projektanci, operatorzy, utrzymanie ruchu, BHP). Tak przeprowadzona analiza ryzyka będzie wiarygodna, kompletna i efektywna, co przełoży się na bezpieczną maszynę z oznaczeniem CE i spokój zarówno producenta, jak i użytkownika końcowego.

FAQ: ISO/TR 14121-2

analiza ryzyka automatyka przemysłowa automatyzacja procesów produkcyjnych automatyzacja produkcji bezpieczeństwo maszyn dokumentacja techniczna dyrektywa ATEX dyrektywa EMC dyrektywa maszynowa 2006/42/WE Instrukcja obsługi integrator automatyki przemysłowej KPI maszyna nieukończona normy zharmonizowane OEE oznakowanie CE Performence level projektowanie maszyn rozporządzenie w sprawie maszyn 2023/1230 Znak CE