Je tam prostor, kam operátor dosáhne rukou. Je tam pohyblivý díl, který může prsty nebo dlaň zachytit. A je tam činnost, kterou někdo opravdu bude dělat: vytažení zaseknutého kusu, čištění, seřízení, kontrola po zastavení.
A pak se v tabulce objeví zápis: zbytkové riziko – informace v návodu – nestrkat ruce.
Na papíře to vypadá čistě. Nebezpečí popsáno. Riziko pojmenováno. Návod doplněn. Jenže v bezpečnosti strojních zařízení takový zápis často téma neuzavírá. Jen ho přikrývá.
Zbytkové riziko není pytel na všechno, co se nepovedlo vyřešit v projektu. Není to ani trik, jak přesunout odpovědnost z výrobce na uživatele. Je to riziko, které zůstane po poctivé projektové práci: po ověření, zda jde nebezpečí odstranit konstrukčně, po výběru technických ochranných opatření a po kontrole, jestli zvolená řešení opravdu snižují vystavení člověka.
Teprve potom lze férově říct: tady ještě něco zůstává a uživatel o tom musí vědět.
V praxi se ta hranice ráda rozmazává. Výrobce řekne: „Máme to v návodu.“ Integrátor řekne: „Uživatel musí proškolit lidi.“ Uživatel slyší: „To už je vaše organizace práce.“ Jenže ISO 12100 i nařízení o strojních zařízeních (EU) 2023/1230 staví odpovědnost do jasného pořadí: nejdřív projekt, potom ochranná opatření, nakonec informace.
Stejná logika dnes platí i u strojů připojených do sítě. Vzdálený přístup, servisní účty, konfigurace řídicího systému, aktualizace a data nejsou jen starost IT oddělení uživatele, pokud mohou ovlivnit bezpečnost stroje. Nestačí napsat: „Uživatel má zabezpečit síť.“ Výrobce musí dodat stroj, který s takovým rizikem počítá od začátku.
Otázka tedy nezní: je v návodu varování? Otázka zní: co výrobce udělal předtím, než ho tam napsal?
Proč zbytkové riziko není volné pole v tabulce
U ISO 12100 stojí za to zastavit se u schématu snižování rizika z pohledu konstruktéra. Ne kvůli akademii. Kvůli odpovědnosti. Ten obrázek odděluje vstup projektanta a vstup uživatele. Nejdřív existuje riziko spojené se strojem. Potom přijde práce projektanta: bezpečná konstrukce, technická ochranná opatření, doplňující ochranná opatření a informace pro používání. Až potom nastupuje strana uživatele: organizace práce, postupy, dohled, povolovací systémy, další technická opatření, osobní ochranné prostředky a školení.
To znamená jednoduchou věc. Zbytkové riziko opravdu leží na rozhraní výrobce a uživatele. Ale ne tak, že si tam každý zapíše, co se mu hodí. Společné neznamená neurčité. Společné neznamená: výrobce napíše varování a uživatel si to nějak pohlídá.
Výrobce nesmí do téhle zóny odsunout nebezpečí, které nechtěl řešit konstrukčně. Uživatel zase nesmí předstírat, že návod a školení nic neznamenají, pokud výrobce poctivě popsal rizika, která po technickém snížení rizika skutečně zůstala.
Právě proto je pojem zbytkové riziko tak nebezpečný, když se používá lehce. Zní odborně. Vypadá dobře v dokumentaci. A velmi snadno přikryje chybějící konstrukční rozhodnutí. Někdo vidí místo zachycení. Někdo ví, že operátor bude odstraňovat zaseknuté kusy. Někdo ví, že při čištění musí ruka do blízkosti pohybu. A přesto se v tabulce objeví: „zbytkové riziko – nestrkat ruce“.
Takový zápis ještě neříká, že jde o zbytkové riziko. Říká jen to, že někdo problém takto pojmenoval.
Aby se ten pojem použil poctivě, musí být vidět cesta. Co se udělalo v konstrukci? Šla změnit geometrie, vzdálenost, energie, rychlost, přístup nebo způsob seřizování? Jaké ochranné kryty, blokování, jištění krytu, režimy práce nebo bezpečnostní funkce byly zvažovány? Proč část rizika opravdu musí být sdělena uživateli?
Teprve taková odpověď posouvá téma z úrovně „napsali jsme to do návodu“ na úroveň posouzení rizika podle ISO 12100. Norma jasně zvýhodňuje opatření provedená ve fázi návrhu před opatřeními na straně uživatele, protože obvykle fungují spolehlivěji. ISO/TR 14121-2 to podporuje stejnou logikou: informace pro uživatele mají vést ke správnému a bezpečnému používání stroje a varovat před riziky, která zůstala po snížení rizika konstrukcí a ochranami.
Postupy, školení nebo LOTO mají své místo. Ale neslouží k záchraně toho, co výrobce neodpracoval v projektu. Jinak nemluvíme o zbytkovém riziku. Mluvíme o riziku ponechaném uživateli.
Tři situace, kdy zbytkové riziko dělá pohodlné alibi
Zachycení ruky: varování není ochranný kryt
Představme si jednoduchou situaci. Stroj má pohyblivý prvek. Operátor se k němu dostane při odstraňování zácpy, čištění, ručním podání dílu nebo seřizování. V posouzení rizika je nebezpečí zachycení. Ve sloupci ochranných opatření je: „varování v návodu“. A v návodu věta: „Nevkládat ruce do pracovního prostoru stroje.“
Zní to povědomě?
Na první pohled je dokumentace vyplněná. Nebezpečí je. Riziko je. Varování je. Jenže bezpečnost stroje není hra na vyplněná políčka. Důležitá otázka zní jinak: co se stalo před tím varováním?
Zkoušel někdo odstranit místo zachycení změnou geometrie? Omezila se síla, rychlost nebo energie pohybu? Šlo seřizování přesunout mimo nebezpečný prostor? Byl navržen režim seřizování se sníženým rizikem? Byl zvolen ochranný kryt, blokování, jištění krytu, ovládání s přidržením nebo povolovací zařízení? Ověřilo se, jak bude operátor zaseknutý kus opravdu vytahovat, ne jak by to měl dělat v ideálním návodu?
Jestli odpověď zní: „Ne, ale napsali jsme, ať tam nestrká ruce“, pak ještě nemluvíme o zbytkovém riziku. Mluvíme o riziku, které bylo takto nazváno, protože to bylo nejrychlejší.
Přístup k údržbě: žebřík z haly není projektové řešení
Druhý příklad je méně nápadný, ale v provozu bolí stejně.
Filtr se má měnit každý týden. Čidlo se musí čistit při každé změně formátu. Mazací místo je dva metry nad podlahou. Nějaký díl se musí pravidelně vyjmout z vnitřku stroje. Výrobce do návodu napíše: „Činnosti provádět bezpečně a používat vhodné prostředky přístupu.“
Dobře. Ale jaké prostředky?
Žebřík z haly? Plošina, kterou někdo přistaví? Lezení po rámu stroje? Stoupnutí na profil konstrukce, protože „tak se to vždycky dělalo“? Nebo má pracovník jednou rukou držet kryt, druhou povolovat šroub a třetí, kterou nemá, hlídat nářadí?
Tady se teorie potkává s provozem. Pokud výrobce předpokládá pravidelnou obsluhu, údržbu, čištění nebo seřizování, musí se ptát: jak se tam člověk bezpečně dostane, kde bude stát a jak práci provede bez improvizace?
Ne každá práce ve výšce u stroje znamená, že se musí stavět velká servisní lávka. Ale opačný extrém je stejně špatně: předstírat, že přístup k místu časté údržby je čistě problém uživatele. ISO 12100 uvádí, že běžné činnosti obsluhy, seřizování a údržby mají být prováděny z úrovně podlahy, pokud je to možné. Když to možné není, má být navržen bezpečný přístup: plošiny, schody, průchody, zábradlí nebo jiné řešení. Tady vstupuje do hry ISO 14122 pro trvalé prostředky přístupu ke strojním zařízením.
A pak začne být zajímavé, proč se téma hned odsunulo na uživatele. Pokud existuje technické řešení, které umožní bezpečně dělat časté výměny, regulace nebo údržbu, proč nebylo v projektu? Proč návod vyžaduje týdenní zásah v těžko dostupném místě, ale projekt nedá člověku bezpečné pracovní místo? Proč výrobce popíše činnost, ale nenavrhne podmínky pro její provedení?
To nejsou akademické otázky. To jsou otázky z přejímky stroje, z auditu a z haly. Pokud uživatel musí určitou činnost dělat pravidelně, přístup k místu není ozdoba. Je to součást bezpečnosti stroje, nebo alespoň jasný instalační požadavek, který výrobce musí určit.
Kybernetická bezpečnost: „zabezpečte síť“ nestačí
Třetí příklad vypadá moderněji, ale mechanismus je stejný.
Stroj má vzdálený přístup. Má řídicí systém, HMI, průmyslový počítač, servisní účty, možnost aktualizací, přenos dat a někdy propojení s nadřazeným systémem. Výrobce řekne: „Uživatel musí zabezpečit síť.“ IT to dostane po uvedení do provozu. Údržba chce rychlý servisní přístup. Výroba chce, aby stroj běžel. Každý má svoji pravdu.
Ale položme jednoduchou otázku: může narušení této vrstvy ovlivnit bezpečnost stroje?
Pokud vzdálený přístup umožní měnit parametry, režimy práce, logiku řízení, konfiguraci HMI nebo data důležitá pro bezpečnostní funkce, není to jen věc firemního firewallu. Pokud stroj přijde k uživateli s výchozími hesly, nejasnými účty, otevřeným vzdáleným přístupem nebo nepopsanou aktualizační procedurou, těžko tvrdit, že veškeré riziko kybernetické bezpečnosti leží na uživateli.
Uživatel samozřejmě má své povinnosti. Musí řídit síť, účty, přístupy, zálohy, aktualizace, segmentaci a postupy změn. Výrobce ale nemůže dodat stroj ve stavu „nějak si to zabezpečíte“ a nazvat to zbytkovým rizikem. Zvlášť po nástupu nařízení o strojních zařízeních (EU) 2023/1230, které kybernetickou bezpečnost jasně přibližuje bezpečnosti strojních zařízení, pokud narušení hardwaru, softwaru nebo dat může vést k nebezpečné situaci.
I tady platí stejné pořadí: nejdřív projekt, potom technická opatření a teprve pak informace pro uživatele. Ne obráceně.
Kdy je riziko opravdu zbytkové riziko?
Po těchto příkladech je vidět jedna věc: ne každé riziko, které u stroje zůstalo, si zaslouží nálepku zbytkové riziko.
Co vlastně znamená „zůstalo“?
Zůstalo po změně konstrukce? Zůstalo po ochranném krytu, blokování, jištění krytu nebo režimu seřizování? Zůstalo po přesunutí mazacího místa mimo nebezpečný prostor? Zůstalo po návrhu trvalého přístupu k místu údržby? Nebo zůstalo proto, že se tím nikdo nechtěl zabývat a nejjednodušší bylo dopsat varování?
To jsou dvě úplně jiné situace.
ISO 12100 rozděluje téma přesně. Existuje zbytkové riziko po opatřeních projektanta a potom zbytkové riziko po použití všech opatření, tedy i těch na straně uživatele. Mezi nimi je oblast, kde informace od výrobce musí být reálně převedena do organizace práce uživatele. Proto zbytkové riziko nesmí být volná kolonka. Není to místo pro větu: „Uživatel bude opatrný.“ Je to konkrétní závěr po dokončené projektové práci.
| Otázka | Když odpověď zní ano | Když odpověď zní ne |
|---|---|---|
| Je nebezpečí popsáno konkrétně: kde, kdy, kdo je vystaven a při jaké činnosti? | Lze dál posuzovat, jestli jde o zbytkové riziko. | Nejde ještě o posouzení rizika, jen o obecný popis nebezpečí. |
| Ověřil výrobce, zda lze nebezpečí odstranit konstrukčně? | Postup jde v logice ISO 12100. | Varování v návodu přichází příliš brzy. |
| Byla zvážena technická ochranná opatření: ochranné kryty, blokování, jištění krytu, režimy práce, ovládání s přidržením, omezení energie, rychlosti nebo síly? | Lze zdůvodňovat, proč část rizika stále zůstává. | Riziko pravděpodobně není zbytkové, ale nedopracované. |
| Prokázal výrobce, proč určité opatření nepoužil? | Dokumentace ukazuje technické rozhodnutí. | Vzniká mezera. A mezera se nestane zbytkovým rizikem jen proto, že ji tak někdo nazval. |
| Je informace pro uživatele konkrétní? | Uživatel ví, co má dělat: kdy, jak, čím a za jakých podmínek. | „Buďte opatrní“ nebo „nestrkat ruce“ nestačí. |
| Má uživatel na dané opatření reálný vliv? | Může jít o oblast uživatele: školení, LOTO, dohled, postup, údržba, organizace práce. | Nelze předstírat, že uživatel přebírá něco, co nemůže účinně řídit. |
| Dá se opatření na straně uživatele udržet v praxi? | Lze mluvit o společné odpovědnosti. | Pokud řešení vyžaduje trvalé „hlídání lidí“ a šlo použít technické opatření, problém se vrací k výrobci. |
| Bylo po zavedení opatření ověřeno, že nevzniklo nové riziko? | Posouzení rizika má uzavřenou smyčku. | Proces není dokončen. ISO/TR 14121-2 připomíná, že po zavedení opatření je nutné znovu ověřit, zda riziko skutečně kleslo a nevznikla nová nebezpečí. |
Tahle tabulka není právní algoritmus. Je to filtr zdravého rozumu. Pokud po jejím projití zůstane jen věta „operátor má dávat pozor“, jsme příliš brzy. Ke zbytkovému riziku jsme ještě nedošli.
Stejně důležité je rozdělit odpovědnost. Bez toho se ze společného rozhraní stane mlha.
| Oblast | Co má udělat výrobce | Co reálně přebírá uživatel |
|---|---|---|
| Zachycení, stlačení, kontakt s pohybem | Návrh, geometrie, omezení energie, ochranné kryty, blokování, režimy práce, bezpečnostní funkce, jasný popis rizika, které nešlo odstranit. | Školení, dohled, udržování krytů a blokování, postupy při odstraňování zácp, zákaz obcházení ochranných opatření. |
| Čištění, seřizování, údržba | Zahrnutí těchto činností do posouzení rizika, omezení přístupu do nebezpečných prostorů, servisní režimy, seřizovací body mimo nebezpečný prostor, bezpečný přístup. | Organizace práce, kvalifikace lidí, LOTO, plán údržby, kontrola stavu ochranných opatření. |
| Přístup ve výšce, plošiny, průchody | Posouzení, zda je činnost častá a předvídatelná; návrh nebo stanovení požadavků na trvalý prostředek přístupu, pokud je potřeba. | Udržování přístupových cest, pořádek, určení způsobilých pracovníků, používání postupů a prostředků stanovených výrobcem. |
| Kybernetická bezpečnost a vzdálený přístup | Bezpečná architektura, omezení přístupu, správa účtů, popis rozhraní, pravidla aktualizací, ochrana dat a softwaru důležitých pro bezpečnost. | Segmentace sítě, správa účtů, postupy změn, zálohy, dohled nad servisním přístupem. |
| Informace v návodu | Konkrétní varování, popis rizika, podmínky bezpečného použití, požadovaná opatření na straně uživatele, zákazy a omezení použití. | Zavedení informací do praxe: školení, pracovní pokyny, dohled, vymáhání pravidel. |
Tady je jádro věci. Zbytkové riziko může být společné. Ale společné neznamená nečitelné. Společné neznamená: výrobce napsal, uživatel odpovídá. Společné neznamená: bezpečnostní technik udělá postup, takže projekt je v pořádku.
Společné znamená něco náročnějšího: výrobce musí ukázat, co udělal na straně stroje, a uživatel musí převzít to, co skutečně závisí na organizaci práce, dohledu, údržbě a podmínkách provozu.
Tabulka problém nezavře: skutečná práce musí být vidět
Rozdělení odpovědnosti začne fungovat až ve chvíli, kdy spadne z obecných vět na konkrétní činnost u stroje. Napsat „uživatel zajistí organizaci práce“ je snadné. Napsat „uživatel použije vhodný prostředek přístupu“ také. Těžší je ověřit, jestli uživatel dostal stroj, který lze bezpečně obsluhovat, čistit, seřizovat a udržovat.
Vezměme servisní plošinu. Na výkresu je všechno pěkné. Ocelová konstrukce, rošt, zábradlí, vstup. Přístup navržen? Navržen. Hotovo? Ne nutně.
První otázka zní: k jaké práci má plošina sloužit?
Pokud tam pracovník jednou za rok vystoupí, aby přečetl štítek nebo zkontroloval ukazatel, je to jedna situace. Pokud se ale ze stejné plošiny pravidelně mění motor, převodovka, válec, válec dopravníku, hlava, filtr nebo jiný provozní díl, nemluvíme už jen o přístupu. Mluvíme o servisním pracovišti.
A obecná věta v návodu v tu chvíli nestačí.
Kdo tam půjde? Jeden pracovník, nebo dva lidé z údržby? Co ponesou s sebou? Kufr nářadí, momentový klíč, vázací prostředky, náhradní díl? Co budou demontovat? Kryt 20 kg, motor s převodovkou 80 kg, převodovku 150 kg, nebo motor 500 kg? Kam odloží demontovaný díl? Na plošinu? Na vozík? Na závěs? Je navržena transportní branka, závěsný bod, zvedák, dráha vyjmutí dílu a pracovní prostor pro dva lidi? Počítá únosnost plošiny jen s člověkem, nebo i s nářadím, díly, místním zatížením a silami při demontáži?
To jsou otázky z haly, ne ze školící prezentace.
Pokud návod říká, že motor o hmotnosti 500 kg se mění z úrovně plošiny, plošina musí takové práci odpovídat. Ne práci „operátor s klíčem“, ale reálnému úkolu: dva pracovníci, nářadí, demontovaný díl, manévrování, ochrana proti pádu, transport dílu a bezpečné spuštění na podlahu.
Jinak máme jen zdání řešení. Plošina je, ale úkol neřeší. Přístup je, ale bezpečnou údržbu nezajišťuje. Návod činnost popisuje, ale projekt nedává podmínky pro její provedení.
A teď zásadní otázka: je to zbytkové riziko?
Pokud výrobce předpokládá pravidelnou servisní činnost, ale nenavrhl způsob jejího bezpečného provedení, o poctivě popsaném zbytkovém riziku se mluví těžko. Spíš jde o nedokončenou koncepci obsluhy stroje. Uživatel odpovídá za organizaci práce, kvalifikaci lidí, LOTO, dohled a udržování plošiny v dobrém stavu. Nemá ale až po přejímce zjistit, že pro výměnu těžkého celku potřebuje improvizaci.
Velmi podobně vypadá kybernetická bezpečnost. Stroj přijede se servisním účtem. Přihlášení: admin. Heslo: admin. Vzdálený přístup funguje, protože „servis se přece musí nějak připojit“. Dokumentace říká, že uživatel má zabezpečit síť. IT to řeší po spuštění. Údržba nechce přístup blokovat, protože stroj má vyrábět. Servis chce reagovat rychle.
Otázka je prostá: předal výrobce stroj v bezpečné výchozí konfiguraci?
Nejde o to, aby výrobce ručil za celou podnikovou síť uživatele. To by bylo mimo realitu. Uživatel musí řídit přístupy, segmentaci, zálohy, postupy změn, účty, aktualizace a dohled nad servisními spojeními.
Výrobce ale nesmí předat stroj se zjevnou slabinou a říct: „To už je vaše IT.“ Pokud vzdálený přístup, účty, software, konfigurace HMI nebo data mohou ovlivnit chování stroje, tato vrstva patří do posouzení bezpečnosti. Stejně jako ochranný kryt, blokování nebo servisní režim.
Heslo admin/admin není drobnost. Je to digitální obdoba plošiny, která sice existuje, ale nemá únosnost pro skutečnou práci. V dokumentaci něco je. V realitě uživatel dostal problém k opravě.
Dobrá informace pro uživatele není záplata
Informace pro uživatele má být konkrétní. Ne mlha. Ne alibi. Ne věta, která zní bezpečně, ale nikomu neřekne, co má dělat.
U mechanických rizik má popsat, kde riziko zůstává, při jaké činnosti vzniká, kdo je vystaven, jaké podmínky musí být splněny a jaké opatření má uživatel udržovat. U čištění a seřizování má být jasné, zda se používá režim seřizování, snížená rychlost, ovládání s přidržením, povolovací zařízení, LOTO nebo jiný postup. U přístupu má být jasné, zda je součástí stroje trvalá plošina, nebo jaké požadavky musí splnit prostředek dodaný při instalaci. U kybernetické bezpečnosti má být jasné, jaké účty existují, jaké role přístupu jsou navrženy, co se mění při prvním spuštění, jak funguje vzdálený servis, kdo smí aktualizovat software, které konfigurační prvky jsou důležité pro bezpečnost a jak se obnovují nastavení.
Teprve potom lze férově mluvit o odpovědnosti uživatele. Uživatel ví, co přebírá. Ví, co má zavést do školení, pracovních pokynů, údržby a dohledu. Ví, co nesmí obcházet. Ví, co má kontrolovat.
Bez toho nejde o předání zbytkového rizika. Jde o přehození problému přes plot.
Závěr: zbytkové riziko není přikrývka pro nedokončený projekt
Pojem zbytkové riziko se nesmí používat lehce. Nemá zavírat nepříjemné otázky. Má ukázat, co zůstalo po straně výrobce, co přechází na uživatele a jaké podmínky musí obě strany splnit, aby stroj zůstal bezpečný při skutečném provozu.
Dobrá položka v posouzení rizika nevypadá jako poslední záchranná věta. Vypadá jako konec poctivého uvažování: tady bylo nebezpečí, tolik jsme udělali konstrukčně, tolik technicky, tohle už nejde rozumně odstranit bez vytvoření většího problému, a proto uživateli předáváme tyto informace a požadavky.
Pak zní zbytkové riziko jako závěr z posouzení rizika. Ne jako přikrývka pro rozhodnutí, která v projektu chyběla.
„Nestrkat ruce“, „použít vhodnou plošinu“ a „zabezpečit síť“ mohou být důležité informace. Mohou být součástí finálního bezpečnostního balíku. Ale nesmí předstírat, že před nimi nebylo nutné položit těžší otázky.
Stroj totiž nekončí prohlášením o shodě. Pracuje dál: při přestavbách, čištění, údržbě, poruchách, aktualizacích, servisních přístupech a výměnách těžkých celků.
A pokud projekt tyto situace nepředvídá, instrukce projekt nenapraví.