Остатъчен риск в машината.
TL;DR
  • Остатъчният риск е рискът, който остава след проектни решения и защитни мерки, а не запис, който замества липсващо решение.
  • Предупреждение в инструкцията има смисъл едва след проверка на геометрия, енергия, достъп, ограждения, блокировки и режими на работа.
  • ISO 12100 и Регламент 2023/1230 подреждат мерките ясно: първо безопасен проект, после защити, накрая информация към ползвателя.
  • Производителят не може да прехвърля нерешен риск на ползвателя; ползвателят отговаря за процедури, обучение и надзор.
  • При свързани машини отдалечен достъп, акаунти, актуализации и конфигурации също трябва да се оценяват като част от безопасността.

Има зона, до която операторът може да стигне с ръка. Има движещ се елемент, който може да захване длан. Има действие, което някой наистина ще прави: освобождаване на заседнал детайл, почистване, настройване, проверка след спиране.

После в оценката на риска се появява запис: остатъчен риск — информация в инструкцията — „не пъхай ръце“.

На хартия изглежда подредено. Опасността е описана. Рискът е назован. Инструкцията е допълнена. Само че при безопасност на машините такъв запис много често не решава темата. Прикрива я.

Остатъчен риск не е общ чувал за всичко, което не е решено в проекта. Не е и удобен начин производителят да прехвърли отговорността върху ползвателя. Това е рискът, който остава след инженерната работа: след проверка дали опасността може да се премахне чрез конструкцията, след избор на технически защитни мерки и след оценка дали тези мерки реално намаляват излагането на човека.

Едва тогава може честно да се каже: тук още остава нещо и ползвателят трябва да го знае.

На практика границата често се размазва. Производителят казва: „описали сме го в инструкцията“. Интеграторът казва: „ползвателят трябва да обучи хората“. Ползвателят чува: „това вече е ваша организация на работа“. А ISO 12100 и Регламент (ЕС) 2023/1230 за машините подреждат отговорността в ясен ред: първо проект, после защитна мярка, накрая информация.

Същият проблем се връща днес и при свързаните машини. Отдалечен достъп, сервизни акаунти, конфигурация на контролер, актуализации и данни не са само тема на IT отдела на ползвателя, ако могат да влияят на безопасността на машината. Тук също не стига да се напише: „ползвателят трябва да защити мрежата“. Производителят трябва да достави машина, която от самото начало отчита тези рискове.

Затова въпросът не е дали в инструкцията има предупреждение. Въпросът е: какво направи производителят, преди да го напише там?

Остатъчен риск не е свободно поле в таблицата

В ISO 12100 си струва да се спрем на една схема. Не само на дефиницията. Не само на метода в три стъпки. А на логиката за намаляване на риска от гледна точка на проектанта.

Тази логика подрежда отговорността без много романтика: първо имаме риск, свързан с машината. После идва приносът на проектанта. След него остава остатъчен риск след защитните мерки, приложени от проектанта. После идва приносът на ползвателя. И чак накрая остава остатъчен риск след всички защитни мерки.

Това не е декоративна схема за обучение. Това е граница. И тази граница не бива да се изтрива.

От страната на проектанта са безопасната сама по себе си конструкция, техническите защитни мерки, допълнителните защитни мерки и информацията за употреба. От страната на ползвателя са организацията на работа, процедурите, надзорът, разрешителните режими, допълнителните технически мерки, личните предпазни средства и обучението.

Да, остатъчният риск стои на границата между производител и ползвател. Но това не означава, че всеки може да хвърли там каквото му е удобно. Производителят не може да премести в тази зона опасност, която не е пожелал да реши конструктивно. Ползвателят също не може да се прави, че инструкцията и обучението нямат значение, ако производителят коректно е описал рисковете, които не могат да бъдат премахнати от проекта.

Точно затова терминът е опасен. Звучи технически. Звучи зряло. Звучи като край на анализа. И много лесно става прикривка за липсващо инженерно решение.

Някой вижда точка на захващане. Някой знае, че операторът ще чисти заседнали детайли. Някой знае, че при почистване ръката влиза близо до движещ елемент. И въпреки това в таблицата се появява: „остатъчен риск — не пъхай ръце“.

Такъв запис още не доказва, че рискът е остатъчен. Доказва само, че някой го е нарекъл така.

За да използваме понятието честно, трябва да покажем пътя дотам. Какво е направено в конструкцията? Може ли да се промени геометрията, разстоянието, енергията, скоростта, достъпът или начинът на настройване? Какви предпазни ограждения, блокировки, блокиращи заключвания, режими на работа или функции за безопасност са разгледани? Защо част от риска наистина трябва да бъде описана на ползвателя?

Едва такъв отговор премества темата от „написали сме го в инструкцията“ към оценка на риска по логиката на ISO 12100. Стандартът казва директно: мерките, приложени на етап проектиране, са за предпочитане пред мерките от страната на ползвателя, защото обикновено са по-ефективни. ISO/TR 14121-2 подкрепя същото: информацията към ползвателя трябва да води до правилна и безопасна употреба на машината и да предупреждава за рисковете, останали след намаляването им чрез проект и защити.

Процедурите, обучението и LOTO имат своето място. Но не служат за спасяване на проект, който производителят не е довършил. Иначе не говорим за остатъчен риск. Говорим за риск, оставен на ползвателя.

Три ситуации, в които остатъчен риск става удобно алиби

1. „Не пъхай ръце“ при движещ се елемент

Да вземем прост случай.

Машината има движещ се елемент. Операторът може да достигне около него при освобождаване на заседнал детайл, почистване, ръчно подаване на заготовка или настройване. В оценката на риска се появява опасност от захващане. В колоната със защитни мерки пише: „предупреждение в инструкцията“. А в инструкцията: „не пъхайте ръце в работната зона на машината“.

Познато?

На пръв поглед документът е попълнен. Опасност има. Риск има. Предупреждение има. Само че безопасността на машината не е игра на попълване на празни клетки. Въпросът е друг: какво се случи преди предупреждението?

Някой опита ли да премахне точката на захващане чрез промяна на геометрията? Ограничени ли са силата, скоростта или енергията на движението? Може ли настройването да се изнесе извън опасната зона? Предвиден ли е режим на настройване с намален риск? Избрано ли е предпазно ограждение, блокировка, блокиращо заключване, управление с постоянно задействане или разрешаващо устройство? Проверено ли е как операторът реално ще освобождава заседналия детайл, а не как би трябвало да го прави в идеалната инструкция?

Ако отговорът е: „не, но сме написали да не пъха ръце“, още не говорим за остатъчен риск. Говорим за риск, кръстен така, защото е било най-лесно.

Тук схемата от ISO 12100 е неудобна за подобни преки пътища. Тя ясно разделя приноса на проектанта и приноса на ползвателя. Общото не значи неопределено. Общото не значи: „производителят ще напише предупреждение, а ползвателят някак ще се оправи“. Общото значи: производителят показва какво е направил от своята страна, какво не може да се премахне и каква информация предава; ползвателят организира работа според тази информация.

2. „Ползвайте подходящ достъп“ при обслужване на височина

Вторият пример често минава под радара на оценката на риска.

Филтър трябва да се сменя всяка седмица. Датчик трябва да се почиства при всяка смяна на формат. Точка за смазване е на два метра над пода. Елемент трябва периодично да се изважда от вътрешността на машината. Производителят пише в инструкцията: „дейностите се изпълняват при спазване на правилата за безопасност, като се използват подходящи средства за достъп“.

Добре. Но какви средства за достъп?

Стълбата от халето? Подвижна площадка от поддръжката? Качване върху рамата на машината? Стъпване върху конструктивен профил, защото „така винаги го правим“? Или операторът трябва с едната ръка да се държи за ограждението, с другата да отвива елемент, а с третата — която няма — да пази инструмента?

Точно тук теорията се блъска в практиката.

Ако производителят предвижда регулярна операция по обслужване, поддръжка, почистване или регулиране, той трябва да попита: как човекът ще стигне безопасно дотам, къде ще стъпи и как ще свърши работата без импровизация?

Не всяка работа на височина около машина означава огромна стационарна платформа. Но и другата крайност е опасна: да се твърди, че достъпът до място за честа поддръжка е само проблем на ползвателя. ISO 12100 насочва рутинните дейности по обслужване, настройване и поддръжка да се изпълняват от нивото на пода, когато е възможно. Когато не е възможно, трябва да се предвиди безопасен достъп: площадки, стълби, проходи, парапети или други решения. Тук идва серията ISO 14122 за постоянни средства за достъп до машини.

И тогава става интересно.

Ако има техническа защитна мярка, която позволява безопасна редовна смяна, настройка или поддръжка, защо автоматично приемаме, че ползвателят трябва да решава темата организационно? Защо постоянната площадка не е предвидена в проекта? Защо инструкцията изисква седмична работа на трудно достъпно място, но проектът не дава безопасно работно място? Защо производителят описва дейността, но не проектира условията за изпълнението ѝ?

Това не са академични въпроси. Това са въпроси от приемане на машина, от одит, от производствената зала.

3. „Защитете мрежата“ при отдалечен достъп

Третият пример изглежда по-модерен, но механизмът е същият.

Машината има отдалечен достъп. Има контролер, HMI, индустриален компютър, сервизни акаунти, възможност за актуализация, обмен на данни, понякога връзка с по-горна система. Производителят казва: „ползвателят трябва да защити мрежата“. IT отделът получава темата след приемането. Поддръжката иска сервизът да се свързва бързо. Производството иска машината да работи. Всеки има аргументи.

Но въпросът е прост: може ли пробив в този слой да влияе на безопасността на машината?

Ако отдалеченият достъп позволява промяна на параметри, режими на работа, логика на управление, конфигурация на HMI или данни, важни за функция за безопасност, това не е само тема за фирмения firewall. Ако машината пристига при ползвателя с пароли по подразбиране, неописани акаунти, отворен отдалечен достъп или неясна процедура за актуализации, трудно може да се каже, че целият риск от киберсигурността е от страната на ползвателя.

Ползвателят има свои задължения. Той управлява мрежата, акаунтите, достъпите, резервните копия, актуализациите, сегментацията и процедурите за промени. Но производителят не може да достави машина в състояние „вие някак ще си я защитите“ и да нарече това остатъчен риск. Особено след Регламент (ЕС) 2023/1230 за машините, който много ясно приближава киберсигурността до безопасността на машините, когато нарушение на хардуер, софтуер или данни може да доведе до опасна ситуация.

И тук логиката е същата: първо проект, после технически мерки, после информация към ползвателя. Не обратно.

Затова във всички тези примери — захващане, площадки и киберсигурност — трябва да се върнем към един въпрос: производителят наистина ли намали риска, или само го описа на ползвателя?

Кога рискът наистина е остатъчен риск?

След тези примери се вижда едно: не всеки риск, останал при машината, заслужава веднага името остатъчен риск.

Какво значи „останал“?

Останал след промяна на конструкцията? Останал след предпазно ограждение, блокировка, блокиращо заключване или режим на настройване? Останал след изнасяне на точката за смазване извън опасната зона? Останал след проектиране на постоянен достъп до мястото за поддръжка? Или останал, защото никой не е искал да го пипа и най-лесно е било да се добави предупреждение?

Това са две различни ситуации.

ISO 12100 разделя темата точно: има остатъчен риск след мерките от проектанта и остатъчен риск след всички мерки, включително тези от страната на ползвателя. Между тях стои област, в която информацията от производителя трябва реално да се използва от организацията на работа на ползвателя.

Най-просто може да се провери така:

ВъпросАко отговорът е „да“Ако отговорът е „не“
Опасността описана ли е конкретно: къде, кога, кой е изложен и при коя дейност?Може да продължим с оценката дали става дума за остатъчен риск.Това още не е оценка на риска, а общо описание на опасност.
Проверил ли е производителят дали опасността може да се премахне конструктивно?Следваме логиката на ISO 12100.Предупреждението в инструкцията се появява прекалено рано.
Разгледани ли са технически защитни мерки: предпазно ограждение, блокировка, блокиращо заключване, режими на работа, управление с постоянно задействане, ограничаване на енергия, скорост или сила?Може да се обоснове защо част от риска остава.Рискът вероятно не е остатъчен, а недоразработен.
Показал ли е производителят защо дадена мярка не е приложена?Документацията показва инженерно решение.Имаме празнина. Празнината не става остатъчен риск само защото някой я е нарекъл така.
Информацията към ползвателя конкретна ли е?Ползвателят знае какво да направи: кога, как, с какво и при какви условия.„Внимавайте“ и „не пъхайте ръце“ не са достатъчни.
Ползвателят има ли реално влияние върху мярката?Това може да е област на ползвателя: обучение, LOTO, надзор, процедура, поддръжка, лични предпазни средства, организация на работа.Не бива да се твърди, че ползвателят поема нещо, което не може ефективно да контролира.
Мярката от страната на ползвателя поддържа ли се реално в практиката?Може да се говори за споделена отговорност.Ако изисква постоянно „пазене на хората“, а е имало техническо решение, проблемът се връща към производителя.
След защитната мярка проверено ли е дали не се появява нов риск?Оценката на риска има затворен цикъл.Процесът не е завършен. ISO/TR 14121-2 напомня, че след мерките трябва да се провери дали рискът наистина е намален и дали няма нови опасности.

Тази таблица не е формален алгоритъм. Тя е филтър за инженерно здравомислие. Ако след преминаването през нея остава само изречението „операторът трябва да внимава“, значи сме твърде рано. Още не сме стигнали до остатъчен риск.

Струва си веднага да разделим и отговорността:

ОбластКакво трябва да направи производителятКакво реално поема ползвателят
Захващане, смачкване, контакт с движениеПроект, геометрия, ограничаване на енергията, предпазни ограждения, блокировки, режими на работа, функции за безопасност, ясно описание на риска, който не може да бъде премахнат.Обучение, надзор, поддръжка на ограждения и блокировки, процедури за освобождаване на заседнали детайли, забрана за заобикаляне на защитни мерки.
Почистване, настройване, поддръжкаПредвиждане на тези дейности в оценката на риска, ограничаване на достъпа до опасни зони, сервизни режими, точки за настройване извън опасната зона, безопасен достъп.Организация на работата, квалификация на персонала, LOTO, план за поддръжка, проверка на състоянието на защитните мерки.
Достъп на височина, площадки, проходиОценка дали дейността е честа и предвидима; проектиране или определяне на изисквания за постоянен достъп, когато е необходим.Поддържане на достъпите, ред и чистота, допускане на подходящ персонал, изпълнение на процедурите и мерките, посочени от производителя.
Киберсигурност и отдалечен достъпБезопасна архитектура, ограничаване на достъпа, контрол на акаунти, описание на интерфейси, правила за актуализации, защита на данни и софтуер, важни за безопасността.Сегментация на мрежата, управление на акаунти, процедури за промени, резервни копия, надзор върху сервизния достъп.
Информация в инструкциятаКонкретни предупреждения, описание на риска, условия за безопасна употреба, нужни мерки от страната на ползвателя, забрани и ограничения.Внедряване в практиката: обучение, работни инструкции, надзор, налагане на правилата.

Тук е сърцевината.

Остатъчен риск може да бъде споделен. Но споделен не значи неясен. Споделен не значи: „производителят написа, ползвателят отговаря“. Споделен не значи: „отделът по безопасност ще направи процедура, значи проектът е наред“.

Споделен значи нещо по-взискателно: производителят показва какво е направил от страната на машината, а ползвателят поема това, което реално зависи от организацията на работа, надзора, поддръжката и условията на експлоатация.

В добра оценка на риска позицията „остатъчен риск“ не е последна спасителна дъска. Тя е край на честно инженерно разсъждение: тук имаше опасност; това направихме в проекта; това направихме технически; това вече не може разумно да се премахне без да създадем по-голям проблем; ето каква информация и какви изисквания предаваме на ползвателя.

Едва тогава остатъчен риск звучи като извод от оценка на риска. Не като прикривка за решения, които са липсвали.

Остатъчен риск в таблица не замества истинската работа

Разделянето на отговорността изглежда добре едва когато слезе от общите фрази до реална дейност при машината. Лесно е да се напише: „ползвателят осигурява организация на работа“, „ползвателят използва подходящи средства за достъп“, „ползвателят защитава мрежата“. По-трудно е да се провери дали ползвателят е получил машина, която може безопасно да обслужва, поддържа и експлоатира.

Да вземем сервизна площадка.

На чертеж всичко изглежда правилно. Има стоманена конструкция, решетка, парапет, вход. Достъпът е предвиден? Предвиден. Темата е затворена? Не непременно.

Първо трябва да попитаме: за каква работа служи тази площадка?

Ако работник се качва веднъж годишно, за да прочете индикатор или да види табелка, ситуацията е една. Ако обаче от същата площадка редовно трябва да се сменя мотор, редуктор, цилиндър, ролка, глава, филтър или друг експлоатационен елемент, вече не говорим само за „достъп“. Говорим за работно място за сервиз.

И тогава общото изречение в инструкцията не стига.

Кой ще се качи там — един човек или двама от поддръжката? Какво ще носят — кутия с инструменти, динамометричен ключ, сапани, резервна част? Какво ще демонтират — капак 20 kg, мотор-редуктор 80 kg, редуктор 150 kg, двигател 500 kg? Къде ще оставят елемента след отвиване — върху площадката, върху количка, на окачване? Предвидена ли е транспортна вратичка, точка за окачване, подемник, траектория за изваждане и място за работа на двама души? Носимоспособността на площадката включва ли само човек, или и инструменти, части, локални товари и сили при демонтаж?

Това са въпроси от халето, не от презентация.

Ако инструкцията казва, че двигател с маса 500 kg се сменя от площадка, площадката трябва да отговаря на тази работа. Не на фантазията „оператор с ключ“, а на реалната задача: двама работници, инструменти, демонтиран елемент, маневриране, защита от падане, транспорт на частта и безопасно сваляне до нивото на пода.

Иначе имаме привидно решение. Площадката съществува, но не решава задачата. Достъп има, но няма безопасна поддръжка. Инструкцията описва дейността, но проектът не дава условия за изпълнението ѝ.

И най-важният въпрос: това остатъчен риск ли е?

Ако производителят е предвидил регулярна сервизна дейност, но не е предвидил начин за безопасното ѝ изпълнение, трудно говорим за честно описан остатъчен риск. По-скоро имаме недовършена концепция за обслужване на машината. Ползвателят отговаря за организацията на работа, квалификацията на хората, LOTO, надзора и поддръжката на площадката в добро състояние. Но не бива чак след приемането да открива, че за смяна на тежък възел му трябва импровизация.

Много подобно стои темата с киберсигурността.

Машината пристига със сервизен акаунт. Login: admin. Парола: admin. Отдалеченият достъп работи, защото „сервизът трябва някак да се свърже“. Документацията казва, че ползвателят трябва да защити мрежата. IT получава темата след пуска. Поддръжката не иска да блокира достъпа, защото машината трябва да произвежда. Сервизът иска да реагира бързо. Всички имат аргументи.

Но въпросът е прост: производителят предаде ли машината в безопасна конфигурация по подразбиране?

Не става дума производителят да отговаря за цялата заводска мрежа на ползвателя. Това би било откъснато от реалността. Ползвателят трябва да управлява достъпите, сегментацията, резервните копия, процедурите за промени, акаунтите, актуализациите и надзора върху сервизните връзки.

Но производителят не може да предаде машина с очевидна слабост и да каже: „това вече е вашето IT“. Ако отдалечен достъп, акаунти, софтуер, конфигурация на HMI или данни могат да влияят на поведението на машината, този слой принадлежи към оценката на безопасността. Също като предпазно ограждение, блокировка или сервизен режим.

admin/admin не е дреболия. Това е цифровият еквивалент на площадка, която уж я има, но няма носимоспособност за истинската работа. В документацията нещо съществува. В реалността ползвателят получава проблем за поправяне.

Затова добрата информация към ползвателя не звучи „защитете мрежата“. Тя казва: какви акаунти има, какви роли за достъп са предвидени, какво трябва да се промени при първоначално пускане, как работи отдалеченият сервиз, кой може да актуализира софтуера, кои елементи от конфигурацията са важни за безопасността, как се възстановяват настройки и какви мрежови условия производителят е приел за безопасна работа на машината.

Едва тогава може честно да се говори за отговорност на ползвателя. Тогава ползвателят знае какво поема. Тогава остатъчният риск наистина стои на границата между машината и организацията на работа.

Без това имаме само прехвърляне на проблем.

Извод: инструкцията не поправя проекта

Понятието остатъчен риск не бива да се използва леко. То не е предназначено да затваря неудобни въпроси. Трябва да показва какво остава от страната на производителя, какво преминава към ползвателя и какви условия трябва да изпълнят и двете страни, за да остане машината безопасна при нормална експлоатация.

„Не пъхайте ръце“, „използвайте подходяща площадка“ и „защитете мрежата“ могат да бъдат важни информации. Могат да са част от крайния пакет за безопасност. Но не могат да се преструват, че преди тях не е трябвало да се зададат по-трудните въпроси.

Машината не свършва с CE маркировката и декларацията за съответствие. Тя продължава да работи: при пренастройване, почистване, поддръжка, аварии, актуализации, сервизни достъпи и смяна на тежки възли.

Ако проектът не предвижда тези ситуации, инструкцията няма да ги поправи.

Често задавани въпроси

Какво представлява остатъчният риск при машина?

Остатъчният риск е рискът, който остава след прилагането на мерки за намаляване на риска от проектанта на машината. В подхода на ISO 12100 първо трябва да се търси безопасна по същество конструкция, след това да се изберат технически и допълнителни защитни мерки и едва след това на потребителя да се предостави информация за оставащите опасности.

Следователно това не е „контейнер“ за проблеми, които не са решени в проекта. За да се говори за остатъчен риск, трябва да се покаже какви действия за намаляване на риска са били предварително разгледани и приложени.

Достатъчен ли е надписът „не поставяйте ръце“ като защитна мярка?

Обикновено не. Самото предупреждение в инструкцията не замества предпазно ограждение, блокировка, заключване, ограничаване на енергията, промяна на геометрията или безопасен режим на настройване, ако такива мерки са възможни и адекватни на опасността.

Информацията за потребителя има смисъл едва когато проектантът е доказал, че рискът предварително е бил намален съгласно йерархията на мерките по ISO 12100, но въпреки това остава остатъчен риск, който трябва да бъде описан.

Кой носи отговорност за остатъчния риск: производителят или потребителят?

Отговорността е разпределена, но не произволно. Производителят носи отговорност за оценката на риска, намаляването на риска на етапа на проектиране и добросъвестното информиране за остатъчния риск, който не е могъл да бъде елиминиран или достатъчно ограничен чрез проектни мерки.

Потребителят носи отговорност за безопасната организация на труда, обучението, надзора, процедурите, личните предпазни средства и спазването на инструкциите. Това обаче не означава, че производителят може да прехвърли върху потребителя опасност, която трябва да бъде решена конструктивно или технически.

Как да разпознаем, че рискът е определен като остатъчен твърде рано?

Предупредителен сигнал е ситуацията, при която в оценката на риска се появява достъпна точка на захващане, смачкване или срязване, а единствената мярка е предупреждение от типа „не поставяйте ръце“. Това все още не доказва, че е налице действителен остатъчен риск.

В документацията трябва да се вижда дали са разгледани промяна на конструкцията, ограничаване на енергията или скоростта, преместване на дейността извън опасната зона, предпазни ограждения, блокировки, заключвания, функции за безопасност и режими на работа с намален риск.

Как да се документира остатъчният риск при оценката на риска на машина?

Добре документираният остатъчен риск не трябва да бъде единичен запис в таблица. Той трябва да показва пътя на проследяване: опасност, задача, изпълнявана от човек, етап от жизнения цикъл на машината, изложени лица, оценка на риска преди намаляването му и приложените защитни мерки.

  • да се опише какви конструктивни и технически решения са били разгледани,
  • да се посочи кои мерки са приложени и как ограничават излагането на опасност,
  • да се определи какво все още остава след намаляването на риска,
  • да се пренесе конкретната информация в инструкциите, маркировките и процедурите за употреба.

Не оставяйте остатъчния риск без обосновка

Провеждайте оценката на риска така, че всяко предупреждение да стъпва на предходни конструктивни решения и избрани защитни мерки. Така ясно показвате какво остава след намаляването на риска.

Създайте профил Можете да започнете само с една машина.