La reducción del riesgo industrial desde un nivel inaceptable identificado durante la apreciación hasta un nivel residual tolerable se ejecuta técnicamente aplicando los tres pasos jerárquicos que ISO 12100:2010 establece en su cláusula 6: primero el diseño intrínsecamente seguro (modificaciones al equipo que eliminan o reducen el peligro en su origen físico), segundo las medidas de protección técnica complementaria (resguardos, dispositivos de protección y sistemas de control relacionados con la seguridad), y tercero la información para el uso seguro (advertencias, procedimientos documentados, formación del usuario). El orden de aplicación de estos tres pasos no es sugerido sino vinculante: la norma exige agotar primero las posibilidades del paso 1 antes de recurrir al paso 2, y agotar el paso 2 antes de considerar el paso 3 como medida principal. La razón técnica de este orden jerárquico es que la efectividad protectora decrece sustancialmente de un paso al siguiente: el diseño intrínsecamente seguro elimina el peligro estructuralmente, las medidas técnicas lo contienen condicionalmente bajo supuestos operativos específicos, y la información al usuario depende enteramente del comportamiento humano correcto frente al peligro remanente. Invertir este orden —típicamente comenzando por advertencias, añadiendo protecciones técnicas solo cuando la advertencia falla, y considerando rediseño solo como último recurso— produce sistemas industriales formalmente seguros que en la práctica operativa concentran la carga de la seguridad en el usuario final, con la consecuencia predecible de que los errores humanos en jornadas de fatiga o bajo presión productiva se traducen en incidentes graves. Este artículo desarrolla técnicamente cada uno de los tres pasos con criterios operativos concretos de aplicación, ejemplos industriales específicos y los principios que la norma establece para decidir cuándo pasar del paso 1 al paso 2 o del paso 2 al paso 3.
El marco normativo — por qué el orden jerárquico es vinculante
ISO 12100:2010 (Safety of machinery — General principles for design — Risk assessment and risk reduction) es la norma paraguas internacional que establece los principios fundamentales del diseño seguro de maquinaria. La cláusula 6 de la norma dedica su estructura específicamente al proceso iterativo de reducción del riesgo, estableciendo una jerarquía vinculante de tres pasos que el diseñador y el integrador deben aplicar en orden estricto. Esta jerarquía no es una recomendación de buena práctica que admite desviaciones sino una estructura prescriptiva de conformidad: una apreciación del riesgo que aplica el paso 3 antes de agotar los pasos 1 y 2 no es conforme con ISO 12100, independientemente de que el riesgo residual calculado parezca aceptable.
La lógica de la jerarquía es que cada paso tiene una efectividad protectora estructuralmente distinta frente al peligro. El paso 1 (diseño intrínsecamente seguro) modifica la realidad física del equipo de forma que el peligro no existe o no puede alcanzar al trabajador: esta protección es incondicional. El paso 2 (medidas técnicas) añade sistemas físicos o lógicos que impiden el acceso al peligro o detienen el peligro ante la detección de acceso: esta protección depende del correcto funcionamiento del sistema añadido, que puede fallar o degradarse. El paso 3 (información) depende enteramente de que el usuario comprenda, recuerde y siga las instrucciones bajo todas las condiciones operativas incluidas las adversas: esta protección es la más débil porque el ser humano comete errores predecibles bajo fatiga, presión o distracción.
La inversión de la jerarquía es precisamente la patología histórica más frecuente en el diseño de maquinaria: producir un equipo peligroso y resolver la seguridad mediante etiquetas de advertencia y manuales de procedimiento. ISO 12100 cierra estructuralmente esta vía estableciendo que el diseñador tiene obligación técnica de haber intentado primero el diseño seguro, después las medidas técnicas, y solo al final la información al usuario.
Paso 1 — Diseño intrínsecamente seguro
El diseño intrínsecamente seguro (inherently safe design) es el conjunto de decisiones de diseño que eliminan el peligro en su origen o lo reducen estructuralmente sin depender de sistemas de protección añadidos posteriormente. Estas decisiones se toman típicamente durante la fase de concepción del equipo, pero también pueden aplicarse retroactivamente en modificaciones o retrofits de equipos existentes cuando el análisis del riesgo lo justifique.
- Eliminación física del peligro: reemplazar un proceso peligroso por un proceso alternativo que no presenta el peligro. Por ejemplo, sustituir soldadura por pegamento estructural certificado en componentes donde es técnicamente viable, eliminando el peligro de arco eléctrico y proyección de chispas.
- Reducción de la energía del peligro: disminuir la magnitud del peligro hasta niveles no lesivos. Reducir la tensión operativa de un circuito desde 400 V a 48 V extra-baja (SELV) elimina estructuralmente el peligro de electrocución grave aunque mantenga la funcionalidad.
- Cerramiento estructural del peligro: encapsular el peligro de forma que sea físicamente inaccesible durante la operación normal. Un motor con su acople completamente encerrado dentro del bastidor de la máquina elimina la posibilidad de atrapamiento durante producción.
- Principios ergonómicos que reducen la exposición: diseñar el equipo de forma que el operario no necesite aproximarse al peligro durante la operación normal. Un sistema automático de alimentación de piezas mantiene al operario fuera de la zona peligrosa en una prensa.
- Sustitución de materiales peligrosos: reemplazar sustancias tóxicas o inflamables por alternativas seguras cuando técnicamente sea viable, eliminando peligros químicos y térmicos.
La efectividad del paso 1 es incondicional porque no depende de sistemas añadidos susceptibles de falla. Una tensión SELV no electrocuta aunque el usuario toque el conductor deliberadamente; un sistema con cerramiento estructural no admite acceso al peligro aunque el usuario ignore advertencias. Esta característica hace el paso 1 cualitativamente superior a los pasos 2 y 3.
La limitación práctica del paso 1 es que no siempre es técnicamente viable sin comprometer la funcionalidad del equipo. Un torno no puede mecanizar metales si su husillo no está accesible durante las tareas de cambio de herramienta. Una prensa no puede conformar chapa si el punzón no tiene energía suficiente. Cuando el paso 1 no elimina completamente el peligro, la reducción debe continuar con el paso 2.
Paso 2 — Medidas de protección técnica
Las medidas de protección técnica son sistemas físicos o lógicos añadidos al equipo que impiden el acceso al peligro, detienen el peligro ante la detección de acceso, o limitan las consecuencias del contacto. Estas medidas no eliminan el peligro —que persiste en el equipo— pero lo aíslan efectivamente del trabajador bajo condiciones operativas previsibles.
| TIPO DE MEDIDA | DESCRIPCIÓN TÉCNICA | EJEMPLOS TÍPICOS |
| Resguardos fijos | Barreras físicas permanentes que impiden el acceso al peligro; solo removibles con herramienta | Carcasas de transmisiones, cubiertas de acoplamientos, cerramientos perimetrales fijos |
| Resguardos móviles con enclavamiento | Barreras abribles cuyo movimiento activa un dispositivo que detiene o impide la operación peligrosa | Puertas de cabinas robóticas, tapas de prensas, compuertas de acceso a zonas energizadas |
| Dispositivos de protección sensible | Sistemas que detectan la presencia del trabajador y activan la parada antes del contacto con el peligro | Barreras fotoeléctricas tipo 4, alfombras sensibles, escáneres láser de seguridad |
| Dispositivos de mando sensitivo | Sistemas que requieren acción activa y consciente del operario durante la operación peligrosa | Mandos a dos manos, pedales de hombre muerto, pulsadores de habilitación de tres posiciones |
| Sistemas de control relacionados con la seguridad (SRCS) | Arquitecturas de control certificadas PLd/PLe bajo ISO 13849-1 o SIL2/SIL3 bajo IEC 62061 | Relés de seguridad redundantes, PLCs de seguridad, lógica de paros de emergencia |
| Medidas complementarias de protección | Sistemas que limitan consecuencias del contacto o facilitan la evacuación del trabajador | Paros de emergencia de función distinta, sistemas de detección de caídas, EPP complementario |
La efectividad del paso 2 depende del correcto funcionamiento de los sistemas añadidos. Un resguardo con enclavamiento no protege si el enclavamiento falla; una barrera fotoeléctrica no protege si el muteo se aplica indebidamente; un SRCS no protege si la categoría de arquitectura es insuficiente frente al riesgo que pretende controlar. La ingeniería del paso 2 exige, por tanto, no solo seleccionar la medida apropiada sino calcular su nivel de prestaciones (PL) o nivel de integridad (SIL) requerido, verificar que el sistema implementado lo alcanza realmente, y validar la integración conforme a ISO 13849-2.
El cálculo técnico del PL requerido por función de seguridad, la validación del SIL logrado por la arquitectura implementada, y la integración coherente de múltiples funciones de seguridad independientes son el contenido técnico central de los módulos M1 y M2 del programa CPMSS. Sin dominio de estos cálculos, la aplicación del paso 2 queda reducida a la intuición, produciendo sistemas que parecen protectores pero que no alcanzan el nivel de prestaciones que el riesgo identificado exige.
Paso 3 — Información para el uso seguro
La información para el uso seguro es el conjunto de instrucciones, advertencias, señalizaciones y formación que el fabricante o integrador proporciona al usuario para que opere el equipo evitando los riesgos residuales que persisten tras aplicar los pasos 1 y 2. Este paso no es opcional aunque sea el tercero en jerarquía: incluso los equipos con diseño intrínsecamente seguro y medidas técnicas rigurosas tienen riesgos residuales que el usuario debe conocer y gestionar.
- Manual de instrucciones completo y técnicamente preciso, con secciones específicas sobre riesgos residuales, procedimientos de intervención, métodos de verificación de estado seguro, y protocolo ante situaciones anómalas.
- Señalización in situ clara y normalizada: pictogramas conforme a ISO 7010 para los peligros remanentes, indicadores de zonas restringidas, advertencias sobre superficies peligrosas, identificación de puntos de aislamiento para LOTO.
- Formación documentada del personal autorizado, afectado y supervisor, con verificación de comprensión efectiva y trazabilidad documental del alcance impartido a cada trabajador.
- Procedimientos operativos escritos específicos para cada tarea razonablemente previsible sobre el equipo, con énfasis especial en tareas no rutinarias (mantenimiento correctivo, desatasco, recuperación tras fallo) donde los riesgos residuales son más relevantes.
La limitación estructural del paso 3 es que depende enteramente del comportamiento humano correcto. Un operario que ha recibido la formación, leído el manual y firmado la comprensión puede cometer error bajo fatiga al final de un turno largo, bajo presión productiva cuando una parada prolongada amenaza objetivos, o simplemente por olvido en circunstancias poco frecuentes. Cada uno de estos fallos humanos es predecible estadísticamente en poblaciones grandes de trabajadores y en horizontes temporales extensos. Por eso la jerarquía de ISO 12100 sitúa el paso 3 después de los otros dos: la información complementa pero no puede sustituir protecciones estructurales.
El proceso iterativo — cuándo pasar de un paso al siguiente
La aplicación de los tres pasos no es lineal sino iterativa. Tras aplicar el paso 1 se recalcula el riesgo residual; si es tolerable, el proceso se detiene ahí; si no es tolerable, se aplica el paso 2 y se recalcula de nuevo; si sigue sin ser tolerable, se aplica el paso 3. Este proceso iterativo es el núcleo metodológico de ISO 12100 y debe documentarse explícitamente en el expediente técnico, mostrando para cada iteración qué medidas se aplicaron, cómo cambió el valor del riesgo y por qué el paso siguiente resultó necesario o innecesario.
| ITERACIÓN | DECISIÓN TÉCNICA | SALIDA DEL PROCESO |
| Tras Paso 1 | ¿El riesgo residual es tolerable con solo el diseño intrínsecamente seguro aplicado? | Sí → Proceso cierra / No → Aplicar Paso 2 |
| Tras Paso 2 | ¿El riesgo residual es tolerable con diseño + medidas técnicas? | Sí → Proceso cierra / No → Aplicar Paso 3 |
| Tras Paso 3 | ¿El riesgo residual es tolerable con diseño + medidas + información? | Sí → Proceso cierra / No → Iterar desde Paso 1 con nueva aproximación |
Si tras agotar los tres pasos el riesgo residual aún no es tolerable, el proceso debe iterarse desde el principio con una aproximación distinta: reevaluando si el equipo puede rediseñarse más agresivamente (paso 1 más profundo), si la medida técnica puede elevarse en nivel de prestaciones (paso 2 reforzado), o si la tarea puede reestructurarse operativamente para reducir exposición. La iteración termina cuando el riesgo residual es tolerable o cuando se concluye técnicamente que el riesgo no puede reducirse con los medios disponibles, en cuyo caso la decisión operativa es no ejecutar la tarea con esa configuración del equipo.
Cómo AI SAFE asiste la aplicación de los tres pasos
El motor AI SAFE (www.aisafegroup.com) asiste al auditor técnico en la aplicación sistemática de los tres pasos. Tras identificar un riesgo inaceptable durante la apreciación, el sistema sugiere al auditor medidas candidatas del paso 1 basadas en la tipología del peligro identificado, permite simular el impacto de cada medida en el valor del riesgo antes de comprometerla, y genera automáticamente la documentación de la iteración. Si el riesgo residual tras el paso 1 sigue no siendo tolerable, el sistema propone medidas del paso 2 con los cálculos de PL y SIL requeridos integrados, y si aún es necesario el paso 3, genera el contenido específico de información al usuario que el caso exige.
Esta estructura de asistencia no sustituye el juicio técnico del auditor —cada propuesta requiere aprobación explícita bajo arquitectura HITL— pero sí previene estructuralmente el error más frecuente: saltarse el orden jerárquico aplicando el paso 3 directamente cuando el paso 1 o el paso 2 son técnicamente aplicables. La documentación trazable del proceso iterativo es lo que convierte la reducción del riesgo en un expediente defendible ante auditoría externa.
Preguntas frecuentes
¿La jerarquía de ISO 12100 aplica solo a maquinaria nueva o también a equipos existentes?
Aplica a ambas situaciones. Para maquinaria nueva es requisito del diseño y del ensamblado. Para equipos existentes aplica cuando se ejecuta una modificación relevante o cuando la apreciación del riesgo identifica un riesgo previamente no considerado que exige reducción. La reducción retroactiva en equipos existentes puede ser más restrictiva en términos del paso 1 porque el rediseño profundo puede no ser viable, pero los pasos 2 y 3 siguen siendo plenamente aplicables.
¿Cuál es el umbral cuantitativo para declarar un riesgo como tolerable?
Depende del marco de cuantificación aplicado. En HRN y HRNt, típicamente valores por debajo de 50 se consideran tolerables bajo condiciones operativas estándar. En categorías ANSI B11.0, el nivel dependerá de la combinación específica de severidad y probabilidad. La norma ISO 12100 no fija umbrales numéricos universales: delega esta decisión a la apreciación específica con criterios documentados. Lo que sí exige es que el umbral esté explícitamente documentado y justificado técnicamente.
¿Los EPP (equipos de protección personal) dónde caen en la jerarquía?
Estrictamente en el paso 3 como medida complementaria, no en el paso 2. El EPP protege al trabajador individual que lo usa correctamente bajo condiciones específicas, pero no elimina ni contiene el peligro: depende del comportamiento humano. ISO 12100 es explícita en que el EPP no debe usarse como sustituto de los pasos 1 y 2 cuando estos sean técnicamente aplicables. El EPP es complemento, no alternativa.
¿Puede una organización documentar que el paso 1 no es viable sin haberlo realmente explorado en profundidad?
No válidamente. ISO 12100 exige documentación del análisis técnico que condujo a la conclusión de inviabilidad, no solo la declaración de que no es viable. Un auditor externo riguroso revisa este análisis y si concluye que el paso 1 podría haberse aplicado con esfuerzo razonable pero no se aplicó, declara no conformidad. La conclusión de inviabilidad debe apoyarse en argumentos técnicos verificables, no en valoraciones subjetivas.
¿Qué relación tiene la jerarquía de ISO 12100 con la jerarquía de controles de OSHA?
Son estructuralmente equivalentes aunque formuladas con terminología distinta. OSHA establece la jerarquía de controles en cinco niveles (eliminación, sustitución, controles de ingeniería, controles administrativos, EPP) que se mapea aproximadamente a los tres pasos de ISO 12100 agregando sustitución al paso 1 y desdoblando el paso 3 en administrativos y EPP. La lógica subyacente —priorizar eliminación estructural sobre controles administrativos y sobre EPP— es idéntica. Las certificaciones CPMSS y CLAMSS cubren ambos marcos integradamente.
| CONTINÚE EXPLORANDO
Este artículo forma parte de la serie técnica publicada por Ai Safe Group Corp sobre seguridad de maquinaria, inteligencia artificial aplicada y formación profesional certificada. |