Jak oceniać ryzyko wg. ISO 12100 – analiza formuły ryzyka i metod

Liczba śmiertelnych wypadków przy pracy w krajach UE wyniosła w 2023 roku 3 298, co stanowi ok. 0,1% wszystkich zgłoszonych wypadków. W porównaniu do 2013 roku liczba ta spadła o ok. 110 (z 3 408), choć względem 2022 odnotowano minimalny wzrost (+12 przypadków). Ogółem na 100 tys. pracowników przypada średnio 1,63 ofiary śmiertelnej rocznie – pomimo postępu w bezpieczeństwie pracy wypadki śmiertelne nadal się zdarzają, szczególnie w związku z obsługą maszyn i urządzeń, co wymaga stałych działań prewencyjnych.

Jak oceniać ryzyko wg. ISO 12100: Ocena ryzyka jest kluczowym elementem zapewnienia bezpieczeństwa maszyn i stanowisk pracy. Według Międzynarodowej Organizacji Normalizacyjnej normą bazową w tym zakresie jest ISO 12100:2010 („Bezpieczeństwo maszyn – Ogólne zasady projektowania – Ocena ryzyka i redukcja ryzyka”), która definiuje fundamentalne pojęcia i proces identyfikacji zagrożeń oraz szacowania ryzyka. Z kolei ISO/TR 14121-2 to raport techniczny (Technical Report) zawierający praktyczne wskazówki i przykłady metod oceny ryzyka maszyn zgodnie z ISO 12100. W niniejszym opracowaniu „rozbijamy” formułę ryzyka z normy ISO 12100 – omawiamy każdy jej składnik – oraz analizujemy, jak poszczególne metody przedstawione w ISO/TR 14121-2 uwzględniają (bądź upraszczają) te czynniki. Przedstawiamy także istotne różnice między podejściami obu dokumentów, zilustrowane danymi statystycznymi i wnioskami z praktyki.

Jak oceniać ryzyko wg. ISO 12100: Formuła ryzyka wg ISO 12100 (składniki ryzyka)

Norma ISO 12100 definiuje ryzyko jako kombinację prawdopodobieństwa wystąpienia szkody oraz ciężkości (dotkliwości) tej szkody. Innymi słowy, ryzyko związane z danym zagrożeniem zależy z jednej strony od ciężkości możliwego urazu lub szkody, z drugiej – od prawdopodobieństwa, że taka szkoda wystąpi. To ogólne określenie można uszczegółowić, rozkładając „prawdopodobieństwo wystąpienia szkody” na bardziej konkretne czynniki. Zgodnie z ISO 12100 prawdopodobieństwo to obejmuje cztery elementy składowe: częstotliwość i czas trwania narażenia (F), prawdopodobieństwo wystąpienia zdarzenia niebezpiecznego (P1), możliwość unikania lub ograniczenia szkody (A) oraz ewentualnie specyficzny czas trwania narażenia (T) jeśli nie jest ujęty w częstotliwości. W praktyce często łączy się czas trwania z częstotliwością ekspozycji, traktując je łącznie jako jeden czynnik. Poniżej opisujemy każdy z tych elementów ryzyka zgodnie z normą i literaturą towarzyszącą:

• Ciężkość szkody (S, severity) – przewidywana dotkliwość konsekwencji wypadku lub zagrożenia. Określa się ją, biorąc pod uwagę najgorszy możliwy skutek dla zdrowia: od drobnych urazów (odwracalnych) po poważne, nieodwracalne uszkodzenia ciała lub śmierć. Kategorie ciężkości mogą być definiowane opisowo (np. S1 – lekki uraz, S2 – ciężki, trwały uszczerbek lub śmierć). Im wyższa potencjalna ciężkość skutków, tym wyższe ryzyko – nawet przy niewielkim prawdopodobieństwie, poważny wypadek może wymagać działań zapobiegawczych.
• Częstotliwość i czas ekspozycji (F, frequency of exposure) – jak często oraz jak długo osoba narażona jest na dane zagrożenie. Częstsze i dłuższe przebywanie w strefie niebezpiecznej zwiększa szansę, że dojdzie do wypadku. Przykładowo, F1 może oznaczać ekspozycję rzadką lub krótkotrwałą, a F2 – częstą lub ciągłą/długotrwałą. W ocenach ryzyka przyjmuje się np. skalę od “bardzo rzadko” po “ciągle” – często z progiem ilościowym (np. kilka razy na godzinę, dziennie, miesięcznie, rocznie itp.). W razie potrzeby uwzględnia się także T (czas trwania ekspozycji) – np. długi ciągły pobyt w strefie zagrożenia jest bardziej ryzykowny niż krótkie incydentalne zajście, nawet przy tej samej częstotliwości.
• Prawdopodobieństwo zdarzenia niebezpiecznego (P1, probability of occurrence) – szacuje, jak prawdopodobne jest wystąpienie konkretnego niebezpiecznego zdarzenia prowadzącego do szkody, biorąc pod uwagę okoliczności pracy maszyny. Obejmuje to m.in. niezawodność maszyny i jej komponentów, prawdopodobieństwo uszkodzenia lub awarii prowadzącej do sytuacji niebezpiecznej, a także możliwość błędu ludzkiego powodującego zdarzenie. Często określa się to jakościowo jako np. bardzo prawdopodobne, możliwe, mało prawdopodobne, znikomo małe itp. Przykładowo, w pięciostopniowej skali: 1 – zaniedbywalne (praktycznie nie zdarza się), 3 – możliwe, 5 – bardzo wysokie prawdopodobieństwo. Im częściej mogą wystąpić sytuacje awaryjne lub niebezpieczne (np. częste usterki, brak zabezpieczeń, wysokie błędy operatorów), tym wyższy czynnik P1.
• Możliwość uniknięcia lub ograniczenia szkody (A, znane też jako P lub Q) – określa, na ile osoba zagrożona ma szansę uniknąć wypadku lub zminimalizować jego skutki, gdy dojdzie już do zdarzenia niebezpiecznego. Inaczej mówiąc: jeśli hazard (zagrożenie) się zrealizuje, czy pracownik może uniknąć urazu (np. odskoczyć, zatrzymać maszynę, schronić się) lub czy środki ochronne mogą ograniczyć skutki (np. kurtyna bezpieczeństwa zatrzyma maszynę zanim dojdzie do poważnej szkody). Kategoria A bywa określana binarnie: np. A1 (P1) – możliwe do uniknięcia (przy sprzyjających warunkach operator ma szansę zareagować, uciec lub szkoda będzie niewielka), A2 (P2) – prawie niemożliwe do uniknięcia (zdarzenie jest nagłe, nieuchronne lub nie ma fizycznej możliwości ucieczki). Jeśli możliwość uniknięcia jest zerowa (np. przy eksplozji, nagłym wciągnięciu przez maszynę wysokiej prędkości), ryzyko jest znacznie większe niż w sytuacji, gdy operator może dostrzec zagrożenie i się wycofać.

Warto podkreślić, że ISO 12100 nie narzuca konkretnych skal ani wartości liczbowych dla powyższych parametrów – wymaga jedynie, aby w ocenie ryzyka uwzględnić przynajmniej cztery powyższe aspekty (S, F, P1, A) i na ich podstawie oszacować poziom ryzyka. Norma pozostawia projektantom swobodę w doborze metod, aby dostosować je do specyfiki maszyny, byleby ocena była systematyczna i uwzględniała wszystkie istotne czynniki. Ryzyko R można zatem wyrazić jako pewna funkcja: R = f(S, F, P1, A). W prostych przypadkach bywa to modelowane jakościowo (np. opisowo lub tabelarycznie), a w niektórych metodach – także punktowo (liczbowo) poprzez przypisanie rang/liczb poszczególnym czynnikom i ich sumowanie bądź mnożenie (o czym dalej).

Na marginesie warto zauważyć, że norma ISO 12100:2010 skonsolidowała wcześniejsze standardy (EN ISO 12100-1, 12100-2 oraz ISO 14121-1) bez istotnych zmian merytorycznych w zakresie podejścia do oceny ryzyka. Oznacza to, że opisane wyżej czynniki ryzyka i proces analizy zagrożeń w zasadzie nie zmieniły się – zyskały jedynie bardziej przejrzystą formę w jednej zharmonizowanej normie. Jednak sama ISO 12100 nie daje gotowej recepty jak dokładnie obliczyć czy sklasyfikować ryzyko – stąd pojawiła się potrzeba dodatkowych wytycznych, które zilustrują różne metody szacowania ryzyka spełniające wymagania normy. Takie właśnie wskazówki zawiera ISO/TR 14121-2:2007/2012, który stanowi zbiór narzędzi i przykładów do wyboru dla osób oceniających ryzyko maszyn.

Metody oceny ryzyka w ISO/TR 14121-2

Raport techniczny ISO/TR 14121-2 przedstawia różnorodne metody i narzędzia służące szacowaniu ryzyka na maszynach, zgodnie z podejściem ISO 12100. Wśród nich opisano m.in. metodę punktową (sumacyjną/mnożeniową), macierz ryzyka, wykres (graf) ryzyka oraz metody hybrydowe łączące cechy kilku podejść, Poniżej omówiono te metody, ze wskazaniem jak uwzględniają (lub upraszczają) czynniki ryzyka opisane wcześniej.

Metoda punktowa (sumacyjna lub mnożeniowa)

Jedną z zaprezentowanych metod jest podejście punktowe, w którym wszystkim elementom ryzyka przypisuje się określone wartości liczbowe, a następnie sumuje je lub mnoży w celu uzyskania wynikowego wskaźnika ryzyka. Na przykład można zdefiniować skale punktowe dla S (np. 1 do 4 w zależności od ciężkości), dla F (częstotliwości ekspozycji), dla P1 (prawdopodobieństwa zdarzenia) itp., a następnie obliczać R = S + F + P1 + A (sumowanie) lub R = S * F * P1 * A (mnożenie).

W praktyce często stosuje się mieszaną formułę, np. sumując niektóre czynniki a inne mnożąc, aby właściwie odzwierciedlić ich wagę. Przykładowo w japońskich wytycznych (cytowanych przez ISO/TR 14121-2) sugerowano dodawanie S + (F + P1) – czyli ciężkość plus łączna ocena ekspozycji i prawdopodobieństwa zdarzenia. Metoda ta umożliwia ujęcie wszystkich istotnych elementów w kalkulacji i daje ilościowy wynik, który można porównywać dla różnych zagrożeń.

Zalety: Pozwala na usystematyzowanie oceny – każde kryterium jest rozważone osobno, co zmniejsza ryzyko pominięcia któregoś aspektu. Wynik numeryczny umożliwia porównywanie ryzyk między różnymi maszynami czy scenariuszami na jednolitej skali.

Wyzwania: Ustalenie wag i skali punktów bywa subiektywne – np. czy „częste” występowanie to 3 punkty czy 4, jak przeskalować mnożenie aby wartości miały sens – i może wymagać kalibracji. Sam wynik liczbowy bywa trudny do zinterpretowania bez zdefiniowania progów akceptowalności (np. co oznacza 15 punktów – czy to „ryzyko wysokie” wymagające działania, czy średnie?). Dlatego często tworzy się do tego tabelę oceny lub legendę, która przekłada sumę punktów na kategorie jakościowe ryzyka (np. 0–3 pkt = ryzyko niskie, 4–7 = średnie, >8 = wysokie – to tylko przykład). Sposób agregacji wpływa też na wynik: mnożenie powoduje, że bardzo niska wartość któregoś czynnika może mocno obniżyć wynik (co może być pożądane, np. znikome prawdopodobieństwo zdarzenia zredukuje ryzyko prawie do zera, nawet przy wysokiej ciężkości), podczas gdy sumowanie zapewnia, że każdy czynnik dodaje coś do ryzyka (np. przy sumie nawet minimalna szansa zdarzenia przy katastrofalnych skutkach da pewien niezerowy wynik). Wybór sumy vs. iloczynu powinien więc odzwierciedlać filozofię oceny – czy uznajemy, że bardzo rzadkie zdarzenie z tragicznym skutkiem to jednak nadal pewne ryzyko wymagające kontroli (sumowanie da niezerowy wynik), czy też że można je praktycznie pominąć (iloczyn da bliski zeru wynik). ISO/TR 14121-2 przedstawia oba podejścia jako opcjonalne narzędzia.

Macierz ryzyka (risk matrix)

Macierz ryzyka to bardzo rozpowszechnione narzędzie, również opisane w ISO/TR 14121-2. Macierz jest dwuwymiarową tabelą, gdzie na jednej osi odkłada się ciężkość skutków (S), a na drugiej ogólne prawdopodobieństwo wystąpienia szkody (P). Poszczególne pola tabeli – kombinacje poziomu S i poziomu P – są przypisane do kategorii ryzyka (np. niskie, średnie, wysokie) często oznaczonych kolorami (zielony, żółty, czerwony) dla czytelności. Przykładowo, czterostopniowa skala ciężkości (od urazu lekkiego po śmiertelny) i pięciostopniowa skala prawdopodobieństwa (od bardzo rzadkie do częste) tworzą macierz 4×5, jak na poniższym przykładzie zaczerpniętym z praktyki (kolory wskazują poziom ryzyka – zielony: akceptowalne, czerwony: wysokie).

W powyższej hipotetycznej macierzy (4×5) widać np., że kombinacja średnie prawdopodobieństwo (C) i skutek śmiertelny (4) daje ocenę Wysokie ryzyko.Tego typu macierz służy przede wszystkim wizualizacji ryzyka – można szybko dostrzec, które zagrożenia plasują się w czerwonym obszarze (nieakceptowalne, wymagające działań), a które w zielonym (akceptowalne).

Zalety macierzy: Jest prosta i czytelna – przypomina „sygnalizację świetlną” (zielone–żółte–czerwone) zrozumiałą nawet dla osób nietechnicznych. Ułatwia to komunikację ryzyka kierownictwu czy pracownikom – widać od razu, gdzie są najwyższe zagrożenia. Macierz umożliwia także szybką klasyfikację priorytetów: można określić, które ryzyka są niskie (i ewentualnie je tolerować), a które są wysokie i wymagają natychmiastowej redukcji.

Wady i uproszczenia: Macierz ryzyka siłą rzeczy upraszcza analizę, bo kondensuje wszystkie czynniki F, P1, A do jednej osi „prawdopodobieństwo”. Ocena tego prawdopodobieństwa staje się wypadkową subiektywnej oceny częstotliwości, możliwości zdarzenia i uniku. Różni oceniający mogą więc różnie interpretować np. co znaczy „mało prawdopodobne” – stąd wyniki bywają nie w pełni powtarzalne. Standaryzacja kategorii w firmie (np. precyzyjne definicje co oznacza B: mało prawdopodobne – np. „<1 zdarzenie na 10 lat”) może ograniczyć uznaniowość, ale pewna subiektywność pozostaje zawsze. Kolejny minus to ograniczona rozdzielczość: macierz grupuje ryzyko w dość szerokie przedziały. Dwa różne zagrożenia mogą dostać tę samą ocenę (np. średnie ryzyko), mimo że jedno jest na dolnej granicy tej kategorii, a drugie na górnej. Macierz nie pokazuje tych różnic – dla bardziej szczegółowych analiz lub rankingu wielu ryzyk metoda ta bywa zbyt ogólna.

Mimo powyższych ograniczeń, macierze są bardzo popularne, także poza przemysłem maszynowym (np. w BHP ogólnie, projektach, finansach), ze względu na prostotę. ISO/TR 14121-2 rekomenduje używanie ich ostrożnie, dbając o jasne zdefiniowanie kategorii i ewentualne doprecyzowanie, gdy potrzeba więcej szczegółów. Warto zaznaczyć, że norma ISO 12100 nie sprzeciwia się użyciu macierzy, o ile pamiętamy by w myśl normy przed sklasyfikowaniem ryzyka w macierzy zastanowić się nad wszystkimi czterema czynnikami (S, F, P1, A). Innymi słowy, choć macierz jawnie operuje tylko dwoma wymiarami (S i ogólne P), analiza jakościowa powinna poprzedzać wypełnienie macierzy – tak by ocenić np. czy niski poziom P wynika z małej ekspozycji, czy może z wysokiej możliwości ucieczki, itp.

Wykres ryzyka (risk graph)

Wykres ryzyka to metoda graficzna przedstawiająca proces oceny ryzyka jako drzewo decyzyjne lub schemat logiczny. Stosuje się ją m.in. w normach dotyczących bezpieczeństwa układów sterowania (np. EN ISO 13849-1, IEC 62061), aby wyznaczyć wymagany poziom zabezpieczeń (PL lub SIL) na podstawie oszacowania ryzyka. Wykres polega na sekwencyjnym odpowiadaniu na pytania dotyczące czynników ryzyka: zazwyczaj Ciężkość (S), Częstotliwość/ekspozycja (F), Możliwość uniku (A/P) – często w formie binarnych wyborów (np. S1 czy S2? F1 czy F2? P1 czy P2?), co prowadzi użytkownika gałązkami drzewa do wyniku końcowego.

Przykładowo, uproszczony schemat (inspirowany ISO 13849-1) działa tak: jeśli S jest lekkie (S1) idź w lewo, jeśli ciężkie (S2) – w prawo; następnie pytanie o F: rzadko/krótko (F1) czy często/długo (F2); potem o P (Avoidance): czy możliwość uniknięcia jest P1 (możliwa) czy P2 (niemożliwa). Na końcu, w zależności od przebytej ścieżki (kombinacji S, F, P), przypisany jest pewien poziom ryzyka lub bezpośrednio wymagany poziom zabezpieczenia (np. PLr a, b, c… dla układów sterowania).

Zalety: Wykresy ryzyka zapewniają usystematyzowaną, powtarzalną procedurę – zadając te same pytania w tej samej kolejności, zmniejszamy uznaniowość (np. dwóch inżynierów odpowiadających „tak/nie” na identyczne pytania zwykle dojdzie do tego samego wyniku). Metoda ta jest też szybka dla doświadczonych użytkowników i skupia się na kluczowych czynnikach bez nadmiernego rozdrabniania skali. Świetnie sprawdza się w specyficznych zastosowaniach, np. ocenie ryzyka związanego z funkcjami bezpieczeństwa (jak w ISO 13849-1) – tam gdzie zagrożenia są typowe, a celem jest dobrać odpowiedni poziom zabezpieczenia technicznego.

Ograniczenia: Wykres (szczególnie z binarnymi kategoriami) jest dość gruboziarnisty. Np. przyjęcie tylko dwóch poziomów S (lekkie vs. ciężkie) pomija „średnie” scenariusze – czasem to wystarcza (gdy liczy się głównie rozróżnienie: czy możliwa śmierć, czy nie), ale czasem może być zbyt uproszczone. Podobnie F1/F2 i P1/P2 to minimalna liczba kategorii; w rzeczywistości bywa więcej odcieni szarości. Wykresy są też zazwyczaj specjalizowane – schemat stworzony pod jedną normę/branżę może nie pasować do innej. Ponadto, wykres ryzyka explicite nie uwzględnia czynnika P1 (prawdopodobieństwa zdarzenia) w oddzielnym kroku – zakłada się często pewien typowy scenariusz z typowym prawdopodobieństwem dla danej aplikacji. Innymi słowy, wykres kładzie nacisk na częstotliwość ekspozycji i możliwość uniknięcia, traktując samo zajście zdarzenia niejako wpisane w realia (np. w ISO 13849 przyjęto konserwatywnie, że zdarzenie może zajść zawsze, jeśli człowiek jest narażony – stąd brak osobnej gałęzi pytającej „czy awaria jest prawdopodobna?”). To upraszcza analizę (mniej pytań), ale oznacza pewną konserwatywność: ryzyko może wyjść wysokie nawet jeśli maszyna jest bardzo niezawodna, bo nie pytamy o to. W praktyce, jeśli mamy dane o bardzo małym prawdopodobieństwie zdarzenia (np. awaria raz na milion godzin), wykres ryzyka nie wykorzysta tego faktu – trzeba by raczej skorzystać z metod punktowych, by ten czynnik P1 uwzględnić liczbowo.

ISO/TR 14121-2 prezentuje wykresy ryzyka jako jedną z metod, podając przykłady z norm pokrewnych. Stosując tę metodę, należy mieć świadomość jej założeń i uproszczeń – sprawdza się ona doskonale do weryfikacji wymagań bezpieczeństwa (np. jak wysoki PL/SIL musi mieć osłona) oraz wstępnej klasyfikacji ryzyka, ale przy ogólnej ocenie ryzyka maszyny może być uzupełniona o inne analizy, jeśli np. awaryjność maszyny jest nietypowa.

Metody hybrydowe (łączone)

Metody hybrydowe stanowią próbę połączenia zalet podejścia punktowego i graficznego. Przykład takiego podejścia podano w ISO/TR 14121-2 oraz przywołano z normy IEC 62061 (dot. bezpieczeństwa układów sterowania). Z grubsza rzecz biorąc, hybrydowa metoda może np. sumować część czynników, by uzyskać „klasę prawdopodobieństwa”, a następnie odnieść ją do ciężkości na wzór macierzy czy wykresu. Tak dzieje się np. w normie IEC 62061: ocenia się kolejno Fr (frequency), Pr (probability of occurrence), Av (avoidance) – każdemu przypisuje wartości 1–5, sumuje je do pewnej klasy ryzyka CL (niekiedy sumę tę nazywa się class of likelihood. Następnie na dwuwymiarowej siatce (podobnej do macierzy) krzyżuje się uzyskany poziom CL z kategorią ciężkości S, aby przypisać wymagany SIL poziomu zabezpieczenia. W ten sposób hybrydowa metoda łączy ilościowe oszacowanie składowych (jak w podejściu punktowym) z czytelnym wynikiem jakościowym (jak w macierzy/wykresie).

Zaletą tego rozwiązania jest większa szczegółowość oceny prawdopodobieństwa (składniki Fr, Pr, Av są rozważone oddzielnie), przy zachowaniu prostego prezentowania końcowego wyniku za pomocą kategorii. Taką metodą posługuje się np. norma ISO 13849, gdzie odpowiedzi na pytania S, F, P (uniknięcie) prowadzą do wymaganego Performance Level (PLr) dla układu bezpieczeństwa – można to zinterpretować jako pięciostopniową skalę ryzyka resztkowego, którą należy osiągnąć odpowiednimi środkami. Co istotne, tam poziomy ryzyka są bezpośrednio powiązane z wymaganą niezawodnością środków ochronnych (PL a – e). Jest to ciekawa koncepcja: ryzyko wysokie → musimy zastosować bardzo niezawodny system zabezpieczeń (PL e), ryzyko niskie → wystarczy mniej złożony środek (PL a).

Metody hybrydowe są często stosowane w ocenie ryzyka związanego z systemami sterowania maszyn, ale ich idea może być zaadaptowana szerzej – dają one możliwość ilościowej oceny redukcji ryzyka przez konkretne środki. Przykładowo, jeśli wyjściowo ryzyko wymagało PL d (co odpowiadało pewnemu poziomowi prawdopodobieństwa zdarzenia), a zastosujemy zabezpieczenie spełniające tylko PL c, to wiemy, że ryzyko spadnie o określoną ilość „poziomów” – nadal jednak nie do zera, więc może wymagać dodatkowych działań. To prowadzi nas do kolejnego ważnego aspektu: ewaluacji ryzyka i różnic w podejściu do kryteriów akceptowalności.

Jak oceniać ryzyko wg. ISO 12100: Porównanie podejść i wnioski

ISO 12100 vs ISO/TR 14121-2 – rola normy a wytycznych. Podstawowa różnica między ISO 12100 a ISO/TR 14121-2 polega na ich charakterze: ISO 12100 jest normą wymagań (normatywną) – określa co należy zrobić (przeprowadzić analizę zagrożeń, oszacować ryzyko uwzględniając S, F, P1, A, itd., a następnie zredukować ryzyko), natomiast ISO/TR 14121-2 jest dokumentem technicznym z wytycznymi – pokazuje jak można to zrobić na przykładach. Sama norma 12100 daje dużą swobodę, natomiast raport 14121-2 dostarcza narzędzi, które tę normę pomagają spełnić. Nie ma tu sprzeczności – raczej uzupełnienie. W praktyce wiele organizacji wypracowuje własne procedury oceny ryzyka bazujące na tych wytycznych, dostosowane do specyfiki ich maszyn i akceptowalnego poziomu ryzyka.

Uwzględnienie czynników ryzyka. ISO 12100 jednoznacznie wskazuje, że każda ocena ryzyka musi brać pod uwagę dwie składowe: ciężkość szkód (S) i prawdopodobieństwo ich wystąpienia (P), przy czym prawdopodobieństwo powinno uwzględniać co najmniej ekspozycję, szansę zdarzenia i możliwość uniknięcia. Metody opisane w ISO/TR 14121-2 różnią się głównie tym, w jaki sposób te składowe włączają. Metoda punktowa explicite rozbija P na czynniki i dodaje/mnoży je, więc najwierniej odzwierciedla pełną formułę (kosztem większego nakładu pracy przy ocenie). Macierz ryzyka z kolei scala czynniki F, P1, A w jedno uogólnione P, co upraszcza ocenę, ale może ukrywać, który aspekt najbardziej wpływa na ryzyko. Przykładowo macierz może dać ten sam wynik „średnie ryzyko” dla dwóch sytuacji: (a) bardzo rzadkie zdarzenie o fatalnych skutkach i (b) częste zdarzenie o lekkich skutkach – choć natura tych ryzyk jest inna. Dlatego przy macierzy zaleca się zawsze odrębnie zanotować założenia, dlaczego dany scenariusz ma taką a nie inną kategorię P (np. „prawdopodobieństwo niskie ze względu na sporadyczną ekspozycję” itp.). Wykres ryzyka z kolei pomija jawnie P1, ale wymusza konserwatywne założenie co do awaryjności – co bywa bezpieczne, choć czasem może przeszacowywać ryzyko, jeśli faktycznie maszyna jest bardzo niezawodna.

Poziom szczegółowości vs. prostota. Z powyższego wynika klasyczny dylemat: metody bardziej złożone (punktowe, hybrydowe) dają dokładniejszy, bardziej ilościowy wgląd w ryzyko, pozwalają odróżnić niuanse, ale ich zastosowanie wymaga więcej danych i jest trudniejsze do komunikacji. Metody prostsze (macierz, risk graph) są łatwe w użyciu i zrozumiałe, ale kosztem szczegółowości – mogą prowadzić do pewnych uśrednień. ISO 12100 nie faworyzuje żadnej z tych metod – dopuszcza wszystkie, pod warunkiem że służą one rzetelnej ocenie. W praktyce często stosuje się kombinację: np. wstępnie ocenia się ryzyko macierzą, by wyłonić obszary wysokiego ryzyka, a następnie dla tych krytycznych zagrożeń robi bardziej szczegółową analizę (choćby półilościową) aby zaprojektować optymalne środki bezpieczeństwa.

Kryteria akceptacji ryzyka. Zarówno ISO 12100, jak i ISO/TR 14121-2 podkreślają, że kluczowym etapem jest ocena, czy ryzyko zostało zredukowane do akceptowalnego poziomu (tzw. ocena ryzyka – risk evaluation – następująca po oszacowaniu). Co ciekawe, żaden z tych dokumentów nie definiuje konkretnie, co stanowi „poziom tolerowalny” – to pozostawiono organizacjom, ewentualnie przepisom prawnym czy normom szczegółowym. ISO/TR 14121-2 w przykładach macierzy zazwyczaj zakłada, że najniższa kategoria ryzyka (np. „Negligible”/„Zaniedbywalne” ryzyko) jest akceptowalna bez dodatkowych działań. Innymi słowy, kombinacja najniższych wartości czynników (np. błaha kontuzja, praktycznie zerowe prawdopodobieństwo) oznacza sytuację, gdzie dalsza redukcja nie jest wymagana. Wyższe poziomy (niskie, średnie, wysokie) mogą wymagać adekwatnie rosnącego nakładu środków ochronnych.

W praktyce zauważono pewną lukę: ISO/TR 14121-2 nie daje ścisłej metody, jak policzyć wpływ zastosowanych środków ochronnych na redukcję ryzyka. Mówiąc prościej – wiemy, że osłony, wyłączniki bezpieczeństwa, kurtyny itp. obniżają ryzyko (bo zmniejszają prawdopodobieństwo lub skutki), ale w skali macierzy czy punktów często ocenia się to jako nową ocenę jakościową po wdrożeniu zabezpieczeń, bez formalnego przelicznika. To może rodzić wątpliwości: np. jeśli przed zastosowaniem osłony prawdopodobieństwo zdarzenia oceniono jako C (możliwe), to do jakiej kategorii spadnie po założeniu osłony? Tutaj z pomocą przychodzą normy takie jak wspomniana ISO 13849-1, gdzie ryzyku początkowemu przypisuje się wymaganą niezawodność środka (PLr), a osiągnięcie tego PL świadczy o zredukowaniu ryzyka do akceptowalnego poziomu. W ujęciu ISO/TR 14121-2 trzeba to ocenić ekspercko – np. powiedzieć „zastosowanie osłony prawdopodobnie zmniejszy częstotliwość ekspozycji z często na rzadko, więc spadamy z kategorii E do C w macierzy”. Jest to poprawne podejście, ale wymaga doświadczenia.

Podsumowanie. Analiza formuły ryzyka wg ISO 12100 ujawnia, jak wiele czynników składa się na ryzyko – nie tylko oczywista ciężkość skutków, ale i mniej oczywiste elementy jak częstotliwość kontaktu z zagrożeniem czy możliwość uniknięcia wypadku. ISO/TR 14121-2 pokazuje zaś, że istnieje wiele dróg szacowania i kategoryzowania ryzyka: od precyzyjnych metod punktowych po przystępne macierze. Każda z nich ma swoje miejsce – często stosuje się je komplementarnie. Kluczowe jest, by nie stracić z oczu żadnego z istotnych aspektów: prosta metoda nie zwalnia z myślenia o szczegółach (np. dlaczego oceniamy prawdopodobieństwo jako niskie), a złożona metoda musi prowadzić do jasnej decyzji (czy ryzyko jest akceptowalne, czy co jeszcze poprawić). W efekcie końcowym celem jest zawsze redukcja ryzyka do akceptowalnego poziomu – zgodnie z tzw. zasadą ALARP (as low as reasonably practicable, sprowadzić ryzyko tak nisko, jak to wykonalne) oraz wymaganiami dyrektyw np. Maszynowej 2006/42/WE. Dopóki w fabrykach i na placach budów zdarzają się wypadki (a statystyki pokazują, że w samej tylko Polsce co roku dziesiątki osób giną przy obsłudze maszyn, a tysiące doznają urazów), rzetelna ocena ryzyka i wdrażanie odpowiednich środków ochronnych pozostaną fundamentalnym obowiązkiem producentów i użytkowników maszyn. Dzięki normom takim jak ISO 12100 i wskazówkom ISO 14121-2 dysponujemy dziś sprawdzonymi narzędziami, aby to ryzyko przewidywać, oceniać i obniżać, zanim dojdzie do nieszczęśliwego zdarzenia.