Miten arvioida riskiä ISO 12100:n mukaisesti – riskikaavan ja menetelmien analyysi

EU-maissa kirjattiin vuonna 2023 yhteensä 3 298 kuolemaan johtanutta työtapaturmaa, mikä on noin 0,1 % kaikista ilmoitetuista tapaturmista. Vuoteen 2013 verrattuna määrä laski noin 110:llä (3 408:sta), vaikka vuoteen 2022 nähden havaittiin vähäinen kasvu (+12 tapausta). Keskimäärin 100 000 työntekijää kohden sattuu vuosittain 1,63 kuolemaan johtanutta tapaturmaa – työpaikkaturvallisuuden kehityksestä huolimatta kuolemaan johtavia tapaturmia tapahtuu edelleen, erityisesti koneiden ja laitteiden käytön yhteydessä, mikä edellyttää jatkuvia ennaltaehkäiseviä toimia.

Miten arvioida riskiä ISO 12100:n mukaan: Riskinarviointi on keskeinen osa koneiden ja työpisteiden turvallisuuden varmistamista. Kansainvälisen standardisoimisjärjestön mukaan alan perusstandardi on ISO 12100:2010 (”Koneturvallisuus – Suunnittelun yleiset periaatteet – Riskin arviointi ja riskin pienentäminen”), joka määrittelee keskeiset käsitteet sekä vaarojen tunnistamisen ja riskin arvioinnin prosessin. Puolestaan ISO/TR 14121-2 on tekninen raportti (Technical Report), joka sisältää käytännön ohjeita ja esimerkkejä koneiden riskinarviointimenetelmistä ISO 12100:n mukaisesti. Tässä katsauksessa ”pilkomme” ISO 12100 -standardin riskikaavan – käymme läpi sen jokaisen osatekijän – sekä analysoimme, miten ISO/TR 14121-2:ssa esitetyt menetelmät huomioivat (tai yksinkertaistavat) nämä tekijät. Esittelemme myös olennaiset erot näiden kahden asiakirjan lähestymistapojen välillä, havainnollistettuna tilastotiedoilla ja käytännön havainnoilla.

Miten arvioida riskiä ISO 12100:n mukaan: ISO 12100:n riskikaava (riskin osatekijät)

ISO 12100 määrittelee riskin vahingon toteutumisen todennäköisyyden ja vahingon vakavuuden (haitallisuuden) yhdistelmäksi. Toisin sanoen tiettyyn vaaraan liittyvä riski riippuu yhtäältä mahdollisen vamman tai vahingon vakavuudesta ja toisaalta todennäköisyydestä, että tällainen vahinko toteutuu. Tätä yleistä määritelmää voidaan täsmentää jakamalla ”vahingon toteutumisen todennäköisyys” konkreettisempiin tekijöihin. ISO 12100:n mukaan tämä todennäköisyys koostuu neljästä osatekijästä: altistumisen tiheys ja kesto (F), vaarallisen tapahtuman todennäköisyys (P1), mahdollisuus välttää tai rajoittaa vahinkoa (A) sekä tarvittaessa erityinen altistumisen kesto (T), jos sitä ei ole huomioitu tiheydessä. Käytännössä kesto yhdistetään usein altistumisen tiheyteen ja niitä käsitellään yhtenä tekijänä. Alla kuvaamme jokaisen näistä riskin osatekijöistä standardin ja siihen liittyvän kirjallisuuden mukaisesti:

• Vahingon vakavuus (S, severity) – ennakoitu seurausten vakavuus onnettomuuden tai vaaratilanteen toteutuessa. Se määritetään huomioimalla pahin mahdollinen terveysvaikutus: lievistä (palautuvista) vammoista vakaviin, pysyviin ruumiinvammoihin tai kuolemaan. Vakavuusluokat voidaan määritellä kuvailevasti (esim. S1 – lievä vamma, S2 – vakava, pysyvä haitta tai kuolema). Mitä suurempi mahdollinen seurausten vakavuus, sitä suurempi riski – vaikka todennäköisyys olisi pieni, vakava onnettomuus voi edellyttää ennaltaehkäiseviä toimenpiteitä.
• Altistumisen tiheys ja kesto (F, frequency of exposure) – kuinka usein ja kuinka pitkään henkilö altistuu kyseiselle vaaralle. Mitä useammin ja pidempään oleskellaan vaaravyöhykkeellä, sitä suurempi on todennäköisyys, että onnettomuus tapahtuu. Esimerkiksi F1 voi tarkoittaa harvinaista tai lyhytaikaista altistumista ja F2 tiheää tai jatkuvaa/pitkäkestoista altistumista. Riskinarvioinneissa käytetään esimerkiksi asteikkoa ”erittäin harvoin”–”jatkuvasti” – usein määrällisellä rajauksella (esim. muutaman kerran tunnissa, päivässä, kuukaudessa, vuodessa jne.). Tarvittaessa huomioidaan myös T (altistumisen kesto) – esimerkiksi pitkä yhtäjaksoinen oleskelu vaaravyöhykkeellä on riskialttiimpaa kuin lyhyt satunnainen käynti, vaikka tiheys olisi sama.
• Vaarallisen tapahtuman todennäköisyys (P1, probability of occurrence) – arvioi, kuinka todennäköistä on, että tapahtuu tietty vaarallinen tapahtuma, joka johtaa vahinkoon, kun huomioidaan koneen käyttöolosuhteet. Tähän sisältyy mm. koneen ja sen komponenttien luotettavuus, vaurioitumisen tai vikaantumisen todennäköisyys, joka voi johtaa vaaratilanteeseen, sekä inhimillisen virheen mahdollisuus tapahtuman aiheuttajana. Tämä kuvataan usein laadullisesti, esimerkiksi erittäin todennäköinen, mahdollinen, epätodennäköinen, lähes olematon jne. Esimerkiksi viisiportaisella asteikolla: 1 – merkityksetön (käytännössä ei tapahdu), 3 – mahdollinen, 5 – erittäin suuri todennäköisyys. Mitä useammin häiriö- tai vaaratilanteita voi esiintyä (esim. toistuvat viat, suojauksien puute, suuret käyttäjävirheet), sitä suurempi on P1-tekijä.
• Mahdollisuus välttää tai rajoittaa vahinkoa (A, tunnetaan myös nimillä P tai Q) – määrittää, missä määrin vaarassa oleva henkilö voi välttää onnettomuuden tai minimoida sen seuraukset, kun vaarallinen tapahtuma on jo käynnistynyt. Toisin sanoen: jos vaara toteutuu, voiko työntekijä välttää loukkaantumisen (esim. väistää, pysäyttää koneen, suojautua) tai voivatko suojatoimenpiteet rajoittaa seurauksia (esim. turvavaloverho pysäyttää koneen ennen vakavaa vahinkoa). Luokka A määritellään joskus kaksijakoisesti: esim. A1 (P1) – vältettävissä (suotuisissa olosuhteissa käyttäjällä on mahdollisuus reagoida, poistua tai vahinko jää vähäiseksi), A2 (P2) – lähes mahdoton välttää (tapahtuma on äkillinen, väistämätön tai fyysistä poistumismahdollisuutta ei ole). Jos välttämismahdollisuus on olematon (esim. räjähdyksessä, äkillisessä tarttumisessa nopeaan koneeseen), riski on huomattavasti suurempi kuin tilanteessa, jossa käyttäjä voi havaita vaaran ja vetäytyä.

On syytä korostaa, että ISO 12100 ei määrää edellä mainituille parametreille tiettyjä asteikkoja tai numeerisia arvoja – se edellyttää ainoastaan, että riskinarvioinnissa huomioidaan vähintään neljä edellä kuvattua näkökulmaa (S, F, P1, A) ja niiden perusteella arvioidaan riskitaso. Standardi jättää suunnittelijoille vapauden valita menetelmät koneen erityispiirteiden mukaan, kunhan arviointi on systemaattinen ja huomioi kaikki olennaiset tekijät. Riski R voidaan siis esittää eräänlaisena funktiona: R = f(S, F, P1, A). Yksinkertaisissa tapauksissa tämä mallinnetaan usein laadullisesti (esim. kuvailevasti tai taulukkomuodossa), ja joissakin menetelmissä myös pisteyttämällä (numeerisesti) siten, että yksittäisille tekijöille annetaan luokat/luvut ja ne summataan tai kerrotaan keskenään (tästä lisää myöhemmin).

Sivuhuomiona voidaan todeta, että ISO 12100:2010 kokosi aiemmat standardit (EN ISO 12100-1, 12100-2 sekä ISO 14121-1) ilman olennaisia sisällöllisiä muutoksia riskinarviointia koskevaan lähestymistapaan. Tämä tarkoittaa, että edellä kuvatut riskitekijät ja vaarojen analysointiprosessi eivät käytännössä muuttuneet – ne saivat vain selkeämmän muodon yhdessä yhdenmukaistetussa standardissa. ISO 12100 ei kuitenkaan anna valmista ohjetta siihen, miten riski tulisi tarkasti laskea tai luokitella – siksi tarvittiin lisäohjeistusta, joka havainnollistaa erilaisia riskin arviointimenetelmiä standardin vaatimusten täyttämiseksi. Tällaisia ohjeita sisältää ISO/TR 14121-2:2007/2012, joka on kokoelma työkaluja ja esimerkkejä koneiden riskinarviointia tekeville.

Riskinarviointimenetelmät standardissa ISO/TR 14121-2

Tekninen raportti ISO/TR 14121-2 esittelee monipuolisia menetelmiä ja työkaluja koneiden riskin arviointiin ISO 12100 -lähestymistavan mukaisesti. Raportissa kuvataan mm. pisteytysmenetelmä (summa-/kertolaskuperusteinen), riskimatriisi, riskikaavio (graafi) sekä hybridimenetelmät, joissa yhdistetään useiden lähestymistapojen piirteitä. Alla käsitellään näitä menetelmiä ja sitä, miten ne huomioivat (tai yksinkertaistavat) aiemmin kuvattuja riskitekijöitä.

Pisteytysmenetelmä (summaus- tai kertolaskuperusteinen)

Yksi esitetyistä menetelmistä on pisteytyslähestymistapa, jossa kaikille riskin osatekijöille annetaan tietyt numeeriset arvot ja ne joko summataan tai kerrotaan, jotta saadaan riskin tulosindeksi. Esimerkiksi voidaan määrittää pisteasteikot S:lle (esim. 1 – 4 vakavuuden mukaan), F:lle (altistumisen tiheys), P1:lle (tapahtuman todennäköisyys) jne., ja laskea sitten R = S + F + P1 + A (summaus) tai R = S * F * P1 * A (kertolasku).

Käytännössä hyödynnetään usein sekamuotoista kaavaa, jossa osa tekijöistä summataan ja osa kerrotaan, jotta niiden painoarvo heijastuisi tarkoituksenmukaisesti. Esimerkiksi japanilaisissa ohjeissa (joihin ISO/TR 14121-2 viittaa) ehdotettiin laskentaa S + (F + P1) – eli vakavuus plus altistumisen ja tapahtuman todennäköisyyden yhteisarvio. Menetelmä mahdollistaa kaikkien olennaisten tekijöiden sisällyttämisen laskentaan ja tuottaa kvantitatiivisen tuloksen, jota voidaan vertailla eri vaarojen välillä.

Edut: Auttaa jäsentämään arviointia – jokainen kriteeri käsitellään erikseen, mikä pienentää riskiä, että jokin näkökulma jää huomiotta. Numeerinen tulos mahdollistaa riskien vertailun eri koneiden tai skenaarioiden välillä yhtenäisellä asteikolla.

Haasteet: Painotusten ja pisteasteikkojen määrittäminen on usein subjektiivista – esimerkiksi onko ”usein” 3 vai 4 pistettä, tai miten kertolasku skaalataan niin, että arvot ovat mielekkäitä – ja se voi vaatia kalibrointia. Pelkkää lukuarvoa voi olla vaikea tulkita ilman hyväksyttävyysrajojen määrittelyä (esim. mitä 15 pistettä tarkoittaa – onko se ”korkea riski”, joka edellyttää toimenpiteitä, vai keskitasoinen?). Siksi tätä varten laaditaan usein arviointitaulukko tai selite, joka muuntaa pistemäärän laadullisiksi riskiluokiksi (esim. 0–3 p = matala riski, 4–7 = keskitaso, >8 = korkea – tämä on vain esimerkki). Myös aggregointitapa vaikuttaa tulokseen: kertolasku tarkoittaa, että jonkin tekijän hyvin pieni arvo voi laskea kokonaisarviota voimakkaasti (mikä voi olla toivottavaa, esim. olematon tapahtumatodennäköisyys pienentää riskin lähes nollaan, vaikka vakavuus olisi suuri), kun taas summaus varmistaa, että jokainen tekijä lisää jotakin riskiin (esim. summassa jopa minimaalinen tapahtumamahdollisuus katastrofaalisilla seurauksilla tuottaa jonkin ei-nollatuloksen). Summan ja tulon valinnan tulisi siis heijastaa arviointifilosofiaa – pidetäänkö erittäin harvinaista tapahtumaa, jolla on traaginen seuraus, silti riskinä, jota on hallittava (summaus antaa ei-nollatuloksen), vai voidaanko se käytännössä sivuuttaa (tulo antaa lähes nollan). ISO/TR 14121-2 esittää molemmat lähestymistavat valinnaisina työkaluina.

Riskimatriisi (risk matrix)

Riskimatriisi on hyvin yleinen työkalu, ja se on kuvattu myös ISO/TR 14121-2:ssa. Matriisi on kaksiulotteinen taulukko, jossa toisella akselilla esitetään seurausten vakavuus (S) ja toisella vahingon toteutumisen kokonais­todennäköisyys (P). Taulukon yksittäiset ruudut – S- ja P-tasojen yhdistelmät – liitetään riskiluokkiin (esim. matala, keskitaso, korkea), ja luokat merkitään usein väreillä (vihreä, keltainen, punainen) selkeyden vuoksi. Esimerkiksi nelitasoinen vakavuusasteikko (lievästä vammasta kuolemaan johtavaan) ja viisiportainen todennäköisyysasteikko (erittäin harvinainen – usein) muodostavat 4×5-matriisin, kuten alla olevassa käytännöstä poimitussa esimerkissä (värit osoittavat riskitason – vihreä: hyväksyttävä, punainen: korkea).

Yllä olevassa hypoteettisessa 4×5-matriisissa nähdään esimerkiksi, että yhdistelmä keskitasoinen todennäköisyys (C) ja kuolemaan johtava seuraus (4) antaa arvion korkea riski. Tämän tyyppinen matriisi palvelee ennen kaikkea riskin visualisointia – on helppo havaita, mitkä vaarat sijoittuvat punaiseen alueeseen (ei-hyväksyttävä, edellyttää toimenpiteitä) ja mitkä vihreään (hyväksyttävä).

Matriisin edut: Se on yksinkertainen ja selkeä – muistuttaa ”liikennevaloja” (vihreä–keltainen–punainen), jotka ovat ymmärrettäviä myös ei-teknisille henkilöille. Tämä helpottaa riskistä viestimistä johdolle tai työntekijöille – korkeimmat vaarat erottuvat heti. Matriisi mahdollistaa myös prioriteettien nopean luokittelun: voidaan määrittää, mitkä riskit ovat matalia (ja mahdollisesti hyväksyttävissä) ja mitkä ovat korkeita ja vaativat välitöntä pienentämistä. Lisätietoa käytännön arvioinnista löytyy artikkelista Miten tarkistaa, onko kone turvallinen?

Haitat ja yksinkertaistukset: Riskimatriisi yksinkertaistaa analyysiä väistämättä, koska se tiivistää kaikki tekijät F, P1, A yhdelle ”todennäköisyys”-akselille. Tämän todennäköisyyden arvioinnista tulee subjektiivinen yhdistelmä arviota esiintymistiheydestä, tapahtuman mahdollisuudesta ja väistämismahdollisuudesta. Eri arvioijat voivat siksi tulkita eri tavoin esimerkiksi sen, mitä ”epätodennäköinen” tarkoittaa – ja tästä syystä tulokset eivät aina ole täysin toistettavia. Luokkien standardointi yrityksessä (esim. täsmälliset määritelmät sille, mitä B: epätodennäköinen tarkoittaa – esim. ”<1 tapahtuma 10 vuodessa”) voi vähentää harkinnanvaraisuutta, mutta tietty subjektiivisuus säilyy aina. Toinen miinus on rajallinen erotuskyky: matriisi ryhmittelee riskit melko laajoihin luokkiin. Kaksi erilaista vaaraa voi saada saman arvion (esim. keskisuuri riski), vaikka toinen olisi luokan alarajalla ja toinen ylärajalla. Matriisi ei tuo näitä eroja esiin – yksityiskohtaisempaan analyysiin tai useiden riskien keskinäiseen priorisointiin menetelmä voi olla liian yleisluonteinen.

Edellä mainituista rajoituksista huolimatta matriisit ovat erittäin suosittuja myös koneteollisuuden ulkopuolella (esim. työturvallisuudessa yleisesti, projekteissa, rahoituksessa) yksinkertaisuutensa vuoksi. ISO/TR 14121-2 suosittelee niiden käyttöä harkiten, huolehtien luokkien selkeästä määrittelystä ja tarvittaessa tarkentamisesta, kun yksityiskohtia tarvitaan enemmän. On syytä huomata, että ISO 12100 -standardi ei vastusta matriisien käyttöä, kunhan muistamme, että standardin hengessä ennen riskin luokittelua matriisissa on pohdittava kaikkia neljää tekijää (S, F, P1, A). Toisin sanoen, vaikka matriisi toimii näkyvästi vain kahdella ulottuvuudella (S ja yleinen P), laadullisen analyysin tulisi edeltää matriisin täyttämistä – jotta voidaan arvioida esimerkiksi, johtuuko P:n matala taso vähäisestä altistuksesta vai kenties hyvästä väistämismahdollisuudesta jne. Käytännön näkökulmasta tämä liittyy usein myös siihen, miten koneiden CE-merkintä ja vaatimustenmukaisuuden arviointi toteutetaan riskinarvioinnin osana.

Riskikäyrä (risk graph)

Riskikäyrä on graafinen menetelmä, joka esittää riskinarvioinnin prosessin päätöspuuna tai loogisena kaaviona. Sitä käytetään mm. ohjausjärjestelmien turvallisuutta koskevissa standardeissa (esim. EN ISO 13849-1, IEC 62061) määrittämään vaadittu suojaustaso (PL tai SIL) riskin arvioinnin perusteella. Menetelmä perustuu kysymyksiin vastaamiseen vaiheittain riskitekijöistä: tyypillisesti vakavuus (S), taajuus/altistuminen (F), väistämismahdollisuus (A/P) – usein kaksijakoisina valintoina (esim. S1 vai S2? F1 vai F2? P1 vai P2?), jolloin käyttäjä etenee puun haaroja pitkin lopputulokseen.

Esimerkiksi yksinkertaistettu kaavio (ISO 13849-1:n pohjalta) toimii näin: jos S on lievä (S1), siirry vasemmalle, jos vakava (S2) – oikealle; seuraavaksi kysymys F: harvoin/lyhyesti (F1) vai usein/pitkään (F2); sitten P (Avoidance): onko väistäminen P1 (mahdollista) vai P2 (mahdotonta). Lopuksi kuljetun polun (S-, F- ja P-yhdistelmän) perusteella määritetään tietty riskitaso tai suoraan vaadittu suojaustaso (esim. PLr a, b, c… ohjausjärjestelmille).

Edut: Riskikäyrät tarjoavat järjestelmällisen ja toistettavan menettelyn – kun esitetään samat kysymykset samassa järjestyksessä, harkinnanvaraisuus vähenee (esim. kaksi insinööriä, jotka vastaavat ”kyllä/ei” samoihin kysymyksiin, päätyy yleensä samaan tulokseen). Menetelmä on myös nopea kokeneille käyttäjille ja keskittyy olennaisiin tekijöihin ilman tarpeetonta asteikon pilkkomista. Se toimii erinomaisesti tietyissä käyttökohteissa, esimerkiksi turvatoimintoihin liittyvässä riskinarvioinnissa (kuten ISO 13849-1:ssä) – tilanteissa, joissa vaarat ovat tyypillisiä ja tavoitteena on valita sopiva teknisen suojauksen taso. Tällaisissa tapauksissa kokonaisuutta voidaan tukea myös koneiden ja tuotantolinjojen turvallisuusauditoinnilla.

Rajoitukset: Kaavio (erityisesti binäärisillä luokilla) on melko karkeajakoinen. Esimerkiksi vain kahden S-tason (lievä vs. vakava) käyttö sivuuttaa ”keskitasoiset” skenaariot – joskus tämä riittää (kun olennaista on lähinnä erottaa, onko kuolema mahdollinen vai ei), mutta joskus se voi olla liian yksinkertaistavaa. Vastaavasti F1/F2 ja P1/P2 ovat vähimmäismäärä luokkia; todellisuudessa sävyjä on usein enemmän. Kaaviot ovat myös yleensä tiettyyn tarkoitukseen räätälöityjä – yhden standardin/toimialan pohjalta tehty malli ei välttämättä sovi toiseen. Lisäksi riskikaavio ei käsittele P1-tekijää (tapahtuman todennäköisyyttä) eksplisiittisesti erillisenä vaiheena – usein oletetaan tietylle sovellukselle tyypillinen skenaario ja sille tyypillinen todennäköisyys. Toisin sanoen kaavio painottaa altistumisen tiheyttä ja välttämismahdollisuutta, ja itse tapahtuman toteutuminen nähdään ikään kuin osana toimintaympäristön realiteetteja (esim. ISO 13849:ssä on konservatiivisesti oletettu, että tapahtuma voi aina sattua, jos ihminen altistuu – siksi erillistä haaraa, jossa kysyttäisiin ”onko vika todennäköinen?”, ei ole). Tämä yksinkertaistaa analyysiä (vähemmän kysymyksiä), mutta tarkoittaa tiettyä konservatiivisuutta: riski voi arvioitua korkeaksi, vaikka kone olisi erittäin luotettava, koska sitä ei erikseen kysytä. Käytännössä, jos käytettävissä on tietoa erittäin pienestä tapahtumatodennäköisyydestä (esim. vika kerran miljoonassa tunnissa), riskikaavio ei hyödynnä tätä – tällöin olisi pikemminkin käytettävä pisteytysmenetelmiä, jotta P1-tekijä voidaan huomioida numeerisesti.

ISO/TR 14121-2 esittelee riskikaaviot yhtenä menetelmänä ja antaa esimerkkejä lähistandardeista. Menetelmää käytettäessä on syytä tiedostaa sen oletukset ja yksinkertaistukset – se soveltuu erinomaisesti turvallisuusvaatimusten verifiointiin (esim. kuinka korkea PL/SIL suojauksen on täytettävä) sekä riskin alustavaan luokitteluun, mutta koneen kokonaisvaltaisessa riskinarvioinnissa sitä voidaan täydentää muilla analyyseillä, jos esimerkiksi koneen vikaantuvuus on epätyypillinen. Jos tarvitset käytännön tukea arvioinnin toteuttamiseen, katso myös Koneiden ja tuotantolinjojen turvallisuusauditointi.

Hybridimenetelmät (yhdistetyt)

Hybridimenetelmät ovat yritys yhdistää pisteytys- ja graafisen lähestymistavan edut. Esimerkki tällaisesta lähestymistavasta esitetään ISO/TR 14121-2:ssa ja se on tuotu esiin IEC 62061 -standardista (koskien ohjausjärjestelmien turvallisuutta). Karkeasti ottaen hybridimenetelmä voi esimerkiksi summata osan tekijöistä, jotta saadaan ”todennäköisyysluokka”, ja suhteuttaa sen sitten vakavuuteen matriisin tai kaavion tapaan. Näin toimitaan esimerkiksi IEC 62061:ssä: arvioidaan peräkkäin Fr (frequency), Pr (probability of occurrence), Av (avoidance) – kullekin annetaan arvot 1–5, ja ne summataan tiettyyn riskiluokkaan CL (joskus tätä summaa kutsutaan nimellä class of likelihood). Tämän jälkeen kaksiulotteisessa ruudukossa (matriisin kaltaisessa) risteytetään saatu CL-taso vakavuusluokan S kanssa, jotta voidaan määrittää vaadittu SIL suojaustasolle. Näin hybridimenetelmä yhdistää osatekijöiden määrällisen arvioinnin (kuten pisteytyksessä) ja selkeän laadullisen lopputuloksen (kuten matriisissa/kaaviossa).

Tämän ratkaisun etuna on todennäköisyyden arvioinnin suurempi tarkkuus (osatekijät Fr, Pr, Av käsitellään erikseen), samalla kun lopputulos esitetään yksinkertaisesti luokkien avulla. Tällainen menetelmä on käytössä esimerkiksi standardissa ISO 13849, jossa vastaukset kysymyksiin S, F, P (välttäminen) johtavat turvatoiminnon vaadittuun Performance Level (PLr) -tasoon – tämän voi tulkita viisiportaiseksi jäännösriskin asteikoksi, joka on saavutettava asianmukaisilla toimenpiteillä. Olennaista on, että siellä riskitasot on kytketty suoraan suojatoimenpiteiden vaadittuun luotettavuuteen (PL a – e). Tämä on kiinnostava ajatus: korkea riski → on käytettävä erittäin luotettavaa suojausjärjestelmää (PL e), matala riski → riittää yksinkertaisempi toimenpide (PL a). Aihe liittyy käytännössä usein myös koneiden CE-merkintään ja vaatimustenmukaisuuden arviointiin.

Hybridimenetelmiä käytetään usein koneiden ohjausjärjestelmiin liittyvässä riskinarvioinnissa, mutta niiden idea voidaan soveltaa laajemminkin – ne mahdollistavat riskin pienentymisen määrällisen arvioinnin tiettyjen toimenpiteiden avulla. Esimerkiksi jos lähtötilanteessa riski edellytti PL d:tä (mikä vastasi tiettyä tapahtumatodennäköisyyden tasoa), ja otamme käyttöön suojauksen, joka täyttää vain PL c:n, tiedämme riskin laskevan tietyn määrän ”tasoja” – se ei kuitenkaan laske nollaan, joten lisätoimia voidaan edelleen tarvita. Tämä johdattaa seuraavaan tärkeään näkökulmaan: riskin arviointiin ja hyväksyttävyyskriteerien lähestymistapojen eroihin. Käytännön tarkistuslistaa varten katso myös Miten tarkistaa, onko kone turvallinen?.

Miten arvioida riskiä ISO 12100:n mukaan: lähestymistapojen vertailu ja johtopäätökset

ISO 12100 vs ISO/TR 14121-2 – standardin ja ohjeistuksen rooli. Perusero ISO 12100:n ja ISO/TR 14121-2:n välillä liittyy niiden luonteeseen: ISO 12100 on vaatimuksia asettava standardi (normatiivinen) – se määrittää, mitä on tehtävä (tehdä vaarojen tunnistaminen, arvioida riski huomioiden S, F, P1, A jne., ja sen jälkeen pienentää riskiä), kun taas ISO/TR 14121-2 on tekninen ohjeasiakirja – se näyttää esimerkkien avulla, miten tämän voi tehdä. Itse 12100-standardi antaa paljon liikkumavaraa, kun taas 14121-2-raportti tarjoaa työkaluja, joiden avulla standardin vaatimukset voidaan täyttää. Tässä ei ole ristiriitaa – pikemminkin täydennys. Käytännössä monet organisaatiot kehittävät omat riskinarviointimenettelynsä näiden ohjeiden pohjalta, sovittaen ne koneidensa erityispiirteisiin ja hyväksyttävään riskitasoon. Tarvittaessa arvioinnin tulokset voidaan myös kytkeä käytännön toteutukseen, kuten koneiden saattamiseen vähimmäisvaatimusten mukaisiksi.

Riskitekijöiden huomioiminen. ISO 12100 toteaa yksiselitteisesti, että jokaisessa riskinarvioinnissa on huomioitava kaksi osatekijää: vahingon vakavuus (S) ja toteutumisen todennäköisyys (P), ja että todennäköisyyden tulee kattaa vähintään altistuminen, tapahtuman mahdollisuus sekä mahdollisuus välttää tai rajoittaa seurauksia. ISO/TR 14121-2:ssa kuvatut menetelmät eroavat pääasiassa siinä, miten nämä osatekijät otetaan mukaan. Pisteytysmenetelmä pilkkoo P:n eksplisiittisesti tekijöihin ja summaa tai kertoo ne, joten se vastaa uskollisimmin täyttä kaavaa (arviointityön suuremman työmäärän kustannuksella). Riskimatriisi puolestaan yhdistää tekijät F, P1 ja A yhdeksi yleistetyksi P:ksi, mikä yksinkertaistaa arviointia, mutta voi peittää sen, mikä osa-alue vaikuttaa riskiin eniten. Esimerkiksi matriisi voi antaa saman tuloksen ”keskisuuri riski” kahdelle tilanteelle: (a) erittäin harvinainen tapahtuma, jolla on katastrofaaliset seuraukset, ja (b) usein toistuva tapahtuma, jolla on lievät seuraukset – vaikka riskien luonne on erilainen. Siksi matriisia käytettäessä suositellaan aina kirjaamaan erikseen perustelut sille, miksi kyseinen skenaario saa tietyn P-luokan (esim. ”todennäköisyys alhainen satunnaisen altistumisen vuoksi” jne.). Riskigraafi taas jättää P1:n eksplisiittisesti pois, mutta pakottaa konservatiiviseen oletukseen vikaantumisalttiudesta – mikä on usein turvallista, vaikka se voi joskus yliarvioida riskiä, jos kone on tosiasiassa erittäin luotettava.

Yksityiskohtaisuus vs. yksinkertaisuus. Edellä olevasta seuraa klassinen dilemma: monimutkaisemmat menetelmät (pisteytys, hybridit) antavat tarkemman ja määrällisemmän kuvan riskistä ja auttavat erottamaan nyansseja, mutta niiden käyttö vaatii enemmän lähtötietoja ja on vaikeampi viestiä. Yksinkertaisemmat menetelmät (matriisi, riskigraafi) ovat helppoja käyttää ja ymmärtää, mutta yksityiskohtaisuuden kustannuksella – ne voivat johtaa tiettyyn keskiarvoistamiseen. ISO 12100 ei aseta mitään näistä etusijalle, vaan hyväksyy kaikki, kunhan ne palvelevat luotettavaa arviointia. Käytännössä hyödynnetään usein yhdistelmää: esimerkiksi riski arvioidaan ensin matriisilla, jotta korkean riskin alueet tunnistetaan, ja sen jälkeen näille kriittisille vaaroille tehdään yksityiskohtaisempi (vaikkapa puolikvantitatiivinen) analyysi, jotta voidaan suunnitella optimaaliset turvatoimenpiteet. Tähän liittyen voi olla hyödyllistä tarkastella myös kokonaisuutta, kuten koneiden CE-merkintä- ja vaatimustenmukaisuuden arviointiprosessia.

Riskin hyväksymiskriteerit. Sekä ISO 12100 että ISO/TR 14121-2 korostavat, että keskeinen vaihe on arvioida, onko riski pienennetty hyväksyttävälle tasolle (ns. riskin arviointi – risk evaluation – joka seuraa riskin estimointia). Mielenkiintoista kyllä, kumpikaan näistä asiakirjoista ei määrittele täsmällisesti, mitä ”siedettävä taso” tarkoittaa – se jätetään organisaatioiden sekä mahdollisesti lainsäädännön tai tuotekohtaisten standardien määriteltäväksi. ISO/TR 14121-2:n matriisiesimerkeissä oletetaan yleensä, että alin riskiluokka (esim. ”Negligible”/”merkityksetön” riski) on hyväksyttävä ilman lisätoimia. Toisin sanoen tekijöiden alimpien arvojen yhdistelmä (esim. vähäinen vamma, käytännössä olematon todennäköisyys) tarkoittaa tilannetta, jossa lisäriskin pienentäminen ei ole tarpeen. Korkeammat tasot (matala, keskisuuri, korkea) voivat edellyttää vastaavasti kasvavaa panostusta suojatoimenpiteisiin.

Käytännössä on havaittu tietty aukko: ISO/TR 14121-2 ei anna tiukkaa menetelmää siihen, miten toteutettujen suojatoimenpiteiden vaikutus riskin pienentymiseen lasketaan. Yksinkertaistaen: tiedämme, että suojukset, turvakytkimet, valoverhot jne. pienentävät riskiä (koska ne vähentävät todennäköisyyttä tai seurauksia), mutta matriisi- tai pisteasteikolla tämä arvioidaan usein uutena laadullisena arviona suojausten käyttöönoton jälkeen ilman muodollista muunnoskerrointa. Tämä voi herättää kysymyksiä: jos suojauksen käyttöönottoa ennen tapahtuman todennäköisyys arvioitiin luokkaan C (mahdollinen), niin mihin luokkaan se putoaa suojauksen asentamisen jälkeen? Tässä avuksi tulevat standardit, kuten mainittu ISO 13849-1, jossa alkuperäiselle riskille määritetään turvatoiminnon vaadittu luotettavuus (PLr), ja kyseisen PL-tason saavuttaminen osoittaa riskin pienentyneen hyväksyttävälle tasolle. ISO/TR 14121-2:n näkökulmasta tämä on arvioitava asiantuntijatyönä – esimerkiksi todeta, että ”suojuksen käyttö todennäköisesti vähentää altistumisen tiheyttä usein → harvoin, joten matriisissa siirrytään luokasta E luokkaan C”. Tämä on oikea lähestymistapa, mutta se edellyttää kokemusta. Käytännön toteutuksessa arviointia tukee usein myös koneiden ja tuotantolinjojen turvallisuusauditointi.

Yhteenveto. ISO 12100:n mukainen riskikaavan tarkastelu tuo esiin, kuinka monesta tekijästä riski muodostuu – ei pelkästään ilmeisestä seurausten vakavuudesta, vaan myös vähemmän ilmeisistä tekijöistä, kuten altistumisen/vaaraan joutumisen toistuvuudesta tai siitä, onko onnettomuus mahdollista välttää. ISO/TR 14121-2 puolestaan osoittaa, että riskin arviointiin ja luokitteluun on useita lähestymistapoja: täsmällisistä pisteytysmenetelmistä helppokäyttöisiin matriiseihin. Jokaisella on oma paikkansa – ja niitä käytetään usein toisiaan täydentäen. Olennaista on, ettei yksikään merkittävä näkökulma jää huomiotta: yksinkertainen menetelmä ei vapauta ajattelemasta yksityiskohtia (esim. miksi todennäköisyys arvioidaan pieneksi), ja monimutkaisen menetelmän on johdettava selkeään päätökseen (onko riski hyväksyttävissä vai mitä vielä on parannettava). Lopputuloksena tavoitteena on aina riskin pienentäminen hyväksyttävälle tasolle – ns. ALARP-periaatteen mukaisesti (as low as reasonably practicable, eli riski niin alas kuin kohtuudella on toteutettavissa) sekä direktiivien vaatimusten mukaisesti, kuten konedirektiivin 2006/42/EC. Niin kauan kuin tehtaissa ja rakennustyömailla sattuu onnettomuuksia (ja tilastot osoittavat, että pelkästään Suomessa kuolee vuosittain kymmeniä ihmisiä koneiden käytön yhteydessä ja tuhannet loukkaantuvat), huolellinen riskinarviointi ja asianmukaisten suojatoimenpiteiden käyttöönotto pysyvät koneiden valmistajien ja käyttäjien keskeisenä velvollisuutena. ISO 12100:n kaltaisten standardien ja ISO 14121-2:n ohjeistuksen ansiosta käytössämme on nykyään hyväksi todettuja työkaluja, joilla riskejä voidaan ennakoida, arvioida ja pienentää ennen kuin sattuu vahinko.