On tsoon, kuhu operaator saab käe ulatada. On liikuv osa, mis võib käe kaasa haarata. On tegevus, mida keegi teeb päriselt: kinnikiilumise eemaldamine, puhastamine, seadistamine, kontroll pärast seiskamist. Ja siis ilmub riskihindamise tabelisse kirje: jääkrisk — teave kasutusjuhendis — käsi mitte panna tööalasse.
Paberil paistab kõik korras. Oht kirjeldatud. Risk nimetatud. Kasutusjuhend täiendatud. Ainult et masinaohutuses ei pane selline lause teemat tihti korda. Ta katab probleemi kinni.
Jääkrisk ei ole koht, kuhu visata kõik, mida projektis ei lahendatud. See ei ole ka viis vastutus tootjalt kasutajale tõsta. Jääkrisk on see, mis jääb alles pärast päris projekteerimistööd: pärast kontrolli, kas ohtu saab konstruktsiooniga eemaldada, pärast tehniliste kaitsemeetmete valikut ja pärast hindamist, kas need meetmed vähendavad inimese kokkupuudet ohuga tegelikult, mitte ainult tabelis.
Alles siis saab ausalt öelda: siia jääb midagi alles ja kasutaja peab seda teadma.
Jääkrisk ei ole vaba lahter tabelis
ISO 12100 juures tasub peatuda ühel ebamugaval mõttel. Mitte ainult definitsioonil ega kolme sammu meetodil, vaid loogikal, kuidas risk väheneb projekteerija vaates. Kõigepealt on masinaga seotud risk. Siis tuleb projekteerija panus: olemuslikult ohutu konstruktsioon, tehnilised kaitsemeetmed, täiendavad kaitsemeetmed ja kasutusega seotud teave. Alles pärast seda tuleb kasutaja panus: töökorraldus, protseduurid, järelevalve, lubade süsteemid, lisameetmed, isikukaitsevahendid ja väljaõpe.
See ei ole koolitusslaidi kaunistus. See on piirjoon. Ja seda piiri ei tohi uduseks teha.
Tootja ei saa lükata sinna tsooni ohtu, mida ta ei tahtnud konstruktsioonis lahendada. Kasutaja ei saa omakorda teeselda, et kasutusjuhend ja väljaõpe ei loe, kui tootja on ausalt kirjeldanud riske, mida ei saanud projekteerimisega kõrvaldada.
Just seepärast on sõna jääkrisk ohtlik. See kõlab tehniliselt. Seega sobib ta mugavaks alibiks. Keegi näeb kinnijäämise kohta. Keegi teab, et operaator eemaldab seal kinnikiilumisi. Keegi teab, et puhastamisel tuleb käsi viia liikuva osa lähedale. Ja ikkagi seisab tabelis: „jääkrisk — käsi mitte panna”. See kirje ei tõesta veel, et tegemist on jääkriskiga. See tõestab ainult, et keegi nimetas probleemi jääkriskiks.
Kui seda mõistet ausalt kasutada, tuleb näidata teekond. Mida tehti konstruktsioonis? Kas sai muuta geomeetriat, vahemaad, energiat, kiirust, ligipääsu või seadistamise viisi? Milliseid kaitsepiirdeid, kaitsekatteid, blokeeringuid, lukustusi, töörežiime või ohutusfunktsioone kaaluti? Miks peab mingi osa riskist tõesti kasutajale kirjeldatuna üle minema?
Alles selline vastus viib teema tasemelt „panime kasutusjuhendisse” tasemele, mis haakub ISO 12100 loogikaga. Standard ütleb selgelt: projekteerimisetapis rakendatud meetmed on eelistatud kasutaja poole meetmetele, sest need toimivad tavaliselt kindlamalt. ISO/TR 14121-2 rõhutab sama: kasutajale antav teave peab aitama masinat õigesti ja ohutult kasutada ning hoiatama riskide eest, mis jäid alles pärast konstruktsioonilist vähendamist ja kaitsemeetmeid. Protseduurid, väljaõpe ning lukustamine ja märgistamine on vajalikud. Aga need ei ole viimane päästerõngas projekti jaoks, mida tootja ei ole lõpuni läbi töötanud.
Muidu me ei räägi jääkriskist. Me räägime riskist, mis jäeti kasutajale.
Kolm olukorda, kus jääkrisk muutub mugavaks alibiks
Kinnihaaramine: hoiatus ei ole kaitsemeede
Võtame lihtsa olukorra. Masinal on liikuv osa. Operaator pääseb selle lähedale kinnikiilumise eemaldamisel, puhastamisel, detaili käsitsi etteandmisel või seadistamisel. Riskihindamises ilmub oht: kinnijäämine või kaasa haaramine. Kaitsemeetmete lahtrisse kirjutatakse: hoiatus kasutusjuhendis. Kasutusjuhendis seisab: „käsi mitte panna masina tööalasse”.
Tuttav?
Esmapilgul on dokument täidetud. Oht on olemas. Risk on olemas. Hoiatus on olemas. Aga masinaohutus ei tähenda, et igasse tühja lahtrisse peab midagi kirjutama. Küsimus on teine: mis juhtus enne seda hoiatust?
Kas keegi proovis kinnijäämise punkti konstruktsiooniga eemaldada? Kas liikumise jõudu, kiirust või energiat piirata? Kas seadistamist sai viia ohtlikust tsoonist välja? Kas ette nähti vähendatud riskiga seadistusrežiim? Kas valiti kaitsepiire, kaitsekate, blokeering, lukustus, allhoidjuhtimine või lubav seadis? Kas vaadati, kuidas operaator kinnikiilumist tegelikult eemaldab, mitte kuidas ta peaks seda tegema ideaalses juhendis?
Kui vastus on: „ei, aga kirjutasime, et käsi ei tohi panna”, siis ei räägi me veel jääkriskist. Me räägime riskist, mis nimetati jääkriskiks, sest nii oli kõige lihtsam.
Hooldus ja ligipääs: redel koridori otsast ei ole projekt
Teine näide on veel salakavalam, sest seda ei seostata alati kohe masina riskihindamisega.
Kujutame ette masinat, mille filtrit tuleb vahetada kord nädalas. Andurit tuleb puhastada iga formaadivahetuse ajal. Määrimispunkt on kaks meetrit põrandast kõrgemal. Mingi sõlm tuleb perioodiliselt masina seest välja võtta. Tootja kirjutab kasutusjuhendisse: „tegevused teha ohutusnõudeid järgides, kasutada sobivaid ligipääsuvahendeid”.
Hästi. Aga milliseid?
Kas saalis olev juhuslik redel? Hoolduse toodud teisaldatav platvorm? Masina raamile ronimine? Konstruktsiooniprofiilil seismine, sest „meil on alati nii tehtud”? Või peab töötaja ühe käega hoidma kaitsekattest, teisega detaili lahti keerama ja kolmandaga — mida tal ei ole — tööriista kinni püüdma?
Siin põrkub teooria vastu põrandat. Kui tootja näeb ette regulaarse teenindus-, hooldus-, puhastus- või seadistustegevuse, peab ta küsima: kuidas inimene sinna ohutult pääseb, kus ta seisab ja kuidas ta töö ära teeb ilma improviseerimiseta?
Iga kõrgusel tehtav töö masina juures ei tähenda automaatselt, et tootja peab ehitama suure hooldusplatvormi. Aga ei saa minna ka teise äärmusse ja teeselda, et sagedase hoolduskoha ligipääs on ainult kasutaja mure. ISO 12100 ütleb, et tavapärased hooldus-, seadistus- ja korrashoiutegevused peaksid võimaluse korral olema tehtavad maapinnalt. Kui see ei ole võimalik, tuleb ette näha ohutu ligipääs: platvormid, trepid, käiguteed, piirded või muud lahendused. Siin tuleb mängu ISO 14122, mis käsitleb masinate püsivaid ligipääsuvahendeid.
Ja siis läheb huvitavaks. Kui tehniline lahendus on olemas, miks eeldame kohe, et kasutaja lahendab asja töökorraldusega? Miks püsiplatvormi projektis ei ole? Miks kasutusjuhend nõuab iganädalast tööd raskesti ligipääsetavas kohas, aga projekt ei anna inimesele ohutut töökohta?
Need ei ole akadeemilised küsimused. Need on masina vastuvõtu, auditi ja tootmissaali küsimused. Kui kasutaja peab mingit tegevust regulaarselt tegema, ei ole ligipääs lisamugavus. See on osa masinaohutusest või vähemalt osa paigaldusnõuetest, mille tootja peab selgelt määrama.
Kaugjuurdepääs: see ei ole ainult IT-osakonna mure
Kolmas näide näeb moodsam välja, aga mehhanism on sama.
Masinal on kaugjuurdepääs. On kontroller, HMI, tööstusarvuti, teeninduskonto, uuendused, andmevahetus ja vahel ühendus kõrgema taseme süsteemiga. Tootja ütleb: „kasutaja peab võrgu turvama”. IT saab teema pärast vastuvõttu. Hooldus tahab, et teenindus saaks kiiresti sisse. Tootmine tahab, et masin töötaks. Kõigil on oma loogika.
Aga küsime lihtsalt: kas selle kihi rikkumine võib mõjutada masina ohutust?
Kui kaugjuurdepääs lubab muuta parameetreid, töörežiime, juhtimisloogikat, HMI konfiguratsiooni või ohutusfunktsiooni jaoks olulisi andmeid, ei ole see ainult tulemüüri küsimus. Kui masin antakse üle vaikimisi paroolidega, kirjeldamata kontodega, avatud kaugjuurdepääsuga või ebaselge uuendusprotseduuriga, on raske väita, et kogu küberturbe risk on kasutaja poolel.
Kasutajal on muidugi oma kohustused. Ta peab haldama võrku, kontosid, ligipääse, varukoopiaid, uuendusi, segmentimist ja muudatuste protseduure. Aga tootja ei saa tarnida masinat seisus „küll te ise kuidagi turvate” ja nimetada seda jääkriskiks. Eriti pärast masinamääruse (EL) 2023/1230 jõustumist, mis toob küberturbe masinaohutusele palju lähemale, kui riistvara, tarkvara või andmete rikkumine võib tekitada ohuolukorra.
Sama loogika kehtib ka siin: kõigepealt projekt, siis tehnilised meetmed ja alles siis teave kasutajale. Mitte vastupidi.
Millal jääkrisk päriselt on jääkrisk?
Nendest näidetest paistab üks asi selgelt välja: mitte iga risk, mis masina juurde alles jääb, ei vääri kohe nime jääkrisk.
Mida tähendab üldse „alles jäi”? Kas jäi alles pärast konstruktsiooni muutmist? Pärast kaitsepiiret, blokeeringut, lukustust või seadistusrežiimi? Pärast määrimispunkti viimist ohtlikust tsoonist välja? Pärast hoolduskoha püsiva ligipääsu projekteerimist? Või jäi alles sellepärast, et keegi ei tahtnud seda teemat puudutada ja lihtsam oli hoiatus lisada?
Need on kaks täiesti erinevat olukorda.
ISO 12100 eristab neid täpselt. On jääkrisk pärast projekteerija meetmeid ja jääkrisk pärast kõiki meetmeid, sealhulgas kasutajapoolseid meetmeid. Sellepärast ei tohi jääkriski käsitleda lahtise rubriigina. See ei ole koht lausele „kasutaja peab olema ettevaatlik”. See on konkreetne järeldus pärast tehtud projekteerimistööd.
| Küsimus | Kui vastus on jah | Kui vastus on ei |
|---|---|---|
| Kas oht on kirjeldatud konkreetselt: kus, millal, kes on ohustatud ja millise tegevuse ajal? | Saab edasi hinnata, kas räägime jääkriskist. | See ei ole veel riskihindamine, vaid üldine ohukirjeldus. |
| Kas tootja kontrollis, kas ohtu saab konstruktsiooniga kõrvaldada? | Liigume ISO 12100 loogika järgi. | Hoiatus kasutusjuhendis ilmub liiga vara. |
| Kas kaaluti tehnilisi kaitsemeetmeid: kaitsekatted, kaitsepiirded, blokeeringud, lukustus, töörežiimid, allhoidjuhtimine, energia, kiiruse või jõu piiramine? | Saab põhjendada, miks osa riskist jääb alles. | Risk on tõenäoliselt lõpuni läbi töötamata, mitte jääkrisk. |
| Kas tootja näitas, miks mõnda meedet ei kasutatud? | Dokumentatsioon näitab inseneriotsust. | On auk. Auk ei muutu jääkriskiks ainult sellepärast, et keegi ta nii nimetas. |
| Kas kasutajale antav teave on konkreetne? | Kasutaja teab, mida teha: millal, kuidas, millega ja mis tingimustes. | „Ole ettevaatlik” või „käsi mitte panna” ei piisa. |
| Kas kasutajal on selle meetme üle tegelik kontroll? | See võib olla kasutaja poole ala: väljaõpe, LOTO, järelevalve, protseduur, hooldus, töökorraldus. | Ei tohi teeselda, et kasutaja võtab üle midagi, mida ta ei saa tõhusalt juhtida. |
| Kas pärast kaitsemeetme rakendamist kontrolliti, et ei tekkinud uut riski? | Riskihindamise ring on sisuliselt suletud. | Protsess ei ole lõpetatud. ISO/TR 14121-2 meenutab: pärast meetmeid tuleb uuesti hinnata, kas risk päriselt vähenes. |
| Kas pärast kaitsemeetme rakendamist kontrolliti, et ei tekkinud uut riski? | Riskihindamise ring on suletud. | Protsess ei ole lõpetatud. ISO/TR 14121-2 meenutab, et pärast meetmete rakendamist tuleb uuesti kontrollida, kas risk tegelikult vähenes ja ega uusi ohte ei tekkinud. |
See tabel ei ole formaalne algoritm. See on terve mõistuse filter. Kui pärast selle läbimist jääb alles ainult lause „operaator peab jälgima”, oleme liiga vara kohal. Me ei ole veel jõudnud jääkriskini.
Vastutus tuleb ka kohe lahku tõmmata. Muidu lendab kõik ühte kotti ja siis ei tea enam keegi, kes mida pidi tegema.
| Valdkond | Mida peab tegema tootja | Mida võtab reaalselt üle kasutaja |
|---|---|---|
| Kinnihaaramine, muljumine, kokkupuude liikumisega | Projekt, geomeetria, energia piiramine, kaitsekatted, kaitsepiirded, blokeeringud, töörežiimid, ohutusfunktsioonid ja selge kirjeldus riskist, mida ei õnnestunud kõrvaldada. | Väljaõpe, järelevalve, kaitsemeetmete korrashoid, kinnikiilumise eemaldamise protseduurid ja kaitsemeetmetest möödaminemise keeld. |
| Puhastamine, seadistamine, hooldus | Nende tegevuste arvestamine riskihindamises, ligipääsu piiramine ohtlikesse tsoonidesse, teenindusrežiimid, seadistuspunktid väljaspool ohtlikku tsooni ja ohutu ligipääs. | Tööde korraldus, personali pädevus, lukustamine ja märgistamine, hooldusplaan ja kaitsemeetmete seisukorra kontroll. |
| Kõrgusel ligipääs, platvormid, käiguteed | Hinnang, kas tegevus on sage ja ette nähtav; vajaduse korral püsiva ligipääsuvahendi projekteerimine või nõuete selge määramine. | Ligipääsuteede korrashoid, kord, õige personali lubamine, tootja määratud protseduuride ja vahendite kasutamine. |
| Küberturve ja kaugjuurdepääs | Ohutu arhitektuur, ligipääsu piiramine, kontode kontroll, liideste kirjeldus, uuenduste reeglid ning ohutuse jaoks oluliste andmete ja tarkvara kaitse. | Võrgu segmentimine, kontohaldus, muudatuste protseduurid, varukoopiad ja teenindusühenduste järelevalve. |
| Teave kasutusjuhendis | Konkreetsed hoiatused, riski kirjeldus, ohutu kasutamise tingimused, kasutaja poole nõutavad meetmed, kasutuspiirangud ja keelud. | Teabe rakendamine praktikas: väljaõpe, tööjuhendid, järelevalve ja reeglite tegelik jõustamine. |
Siin on tuum. Jääkrisk võib olla ühine. Aga ühine ei tähenda loetamatu. Ühine ei tähenda: tootja kirjutas, kasutaja vastutab. Ühine ei tähenda: tööohutusspetsialist teeb protseduuri ja projekt on korras.
Ühine tähendab midagi palju nõudlikumat. Tootja peab näitama, mida ta tegi masina poolel. Kasutaja peab üle võtma selle, mis sõltub päriselt töökorraldusest, järelevalvest, hooldusest ja kasutustingimustest.
Heas riskihindamises ei peaks jääkrisk olema viimane päästerõngas. Ta peaks olema ausa mõttekäigu lõpp: siin oli oht, nii palju tegime konstruktsioonis, nii palju tegime tehniliselt, seda osa ei saa enam mõistlikult eemaldada ilma suuremat probleemi tekitamata ning sellise teabe ja sellised nõuded anname kasutajale üle.
Tabel aitab, aga ei asenda päris tööd masina juures
Vastutuse jaotus näeb hea välja alles siis, kui see tuleb üldsõnadest alla päris tegevuse tasemele. Lihtne on kirjutada: „kasutaja tagab töökorralduse”, „kasutaja kasutab sobivaid ligipääsuvahendeid”, „kasutaja turvab võrgu”. Raskem on kontrollida, kas kasutaja sai masina, mida saab ohutult kasutada, puhastada, hooldada ja töös hoida.
Võtame hooldusplatvormi. Joonisel paistab kõik korrektne. Teraskonstruktsioon, rest, piire, sissepääs. Ligipääs olemas? Olemas. Teema kinni? Mitte tingimata.
Esmalt tuleb küsida: mis tööks see platvorm on?
Kui töötaja läheb sinna kord aastas näidikut lugema, on üks olukord. Kui samalt platvormilt tuleb regulaarselt vahetada mootorit, reduktorit, silindrit, rulli, pead, filtrit või muud kuluvat osa, ei räägi me enam lihtsalt ligipääsust. Me räägime teeninduse töökohast.
Siis üldine lause kasutusjuhendis ei kanna.
Kui kasutusjuhend ütleb, et 500 kg mootor vahetatakse platvormilt, peab platvorm vastama sellele tööle. Mitte kujuteldavale „operaator võtmega” olukorrale, vaid päris ülesandele: kaks inimest, tööriistad, eemaldatav sõlm, manööverdamine, kukkumiskaitse, tõstmine ja osa ohutu toomine põrandatasandile.
Vastasel juhul on meil lahenduse vari. Platvorm on olemas, aga ülesannet ei lahenda. Ligipääs on olemas, aga ohutut hooldust ei taga. Kasutusjuhend kirjeldab tegevust, aga projekt ei anna tingimusi selle tegemiseks.
Kas see on jääkrisk? Kui tootja nägi regulaarset hooldustegevust ette, aga ei näinud ette selle ohutut tegemise viisi, on ausast jääkriskist raske rääkida. See on pigem lõpetamata hoolduskontseptsioon. Kasutaja vastutab töökorralduse, personali pädevuse, lukustamise ja märgistamise, järelevalve ja platvormi korrashoiu eest. Aga ta ei peaks pärast vastuvõttu avastama, et raske sõlme vahetamiseks on vaja loomingulist akrobaatikat.
Küberturbega on pilt väga sarnane. Masin saabub teeninduskontoga. Kasutajanimi on vaikimisi. Parool on vaikimisi. Kaugjuurdepääs töötab, sest „teenindus peab ju kuidagi sisse saama”. Dokumentatsioon ütleb, et kasutaja peab võrgu turvama. Infotehnoloogia saab teema pärast käivitamist. Hooldus ei taha ligipääsu sulgeda, sest masin peab tootma. Teenindus tahab kiiresti reageerida.
Küsimus on lihtne: kas tootja andis masina üle ohutus vaikekonfiguratsioonis?
Tootja ei pea vastutama kasutaja kogu tehasevõrgu eest. See oleks eluvõõras. Kasutaja peab haldama ligipääse, segmentimist, varukoopiaid, muudatusi, kontosid, uuendusi ja teenindusühenduste järelevalvet.
Aga tootja ei saa anda üle ilmse nõrkusega masinat ja öelda: „see on teie infotehnoloogia”. Kui kaugjuurdepääs, teeninduskonto, tarkvara, inimese-masina liidese konfiguratsioon või andmed võivad muuta masina käitumist, kuulub see kiht ohutuse hindamisse. Täpselt nagu kaitsekate, blokeering või teenindusrežiim.
Vaikimisi avatud teeninduskonto ei ole pisiasi. See on digitaalse maailma vaste platvormile, mis justkui on olemas, aga ei kanna päris tööd. Dokumentatsioonis on midagi. Tegelikkuses saab kasutaja probleemi, mida ta peab hiljem parandama.
Hea kasutajale antav teave ei kõla nii: „turvake võrk”. Hea teave ütleb, millised kontod on olemas, millised ligipääsurollid on ette nähtud, mida tuleb esmakäivitamisel muuta, kuidas kaugteenindus töötab, kes võib tarkvara uuendada, millised konfiguratsiooniosad on ohutuse seisukohalt olulised, kuidas seadeid taastada ja milliseid võrgutingimusi tootja eeldas masina ohutuks tööks.
Alles siis saab ausalt rääkida kasutaja vastutusest. Siis kasutaja teab, mida ta üle võtab. Siis asub jääkrisk päriselt masina ja töökorralduse piiril. Ilma selleta on see lihtsalt probleemi edasiandmine.
Jääkrisk peab sulgema mõttekäigu, mitte suu
Seepärast ei tohi sõna jääkrisk kasutada kerge käega. See ei ole silt ebamugava küsimuse peale. See peab näitama, mis jäi tootja poolele, mis läheb kasutaja poolele ja millised tingimused peavad mõlemad pooled täitma, et masin püsiks ohutu ka päris kasutuses.
Masin ei lõpe CE-märgise ega vastavusdeklaratsiooniga. See töötab edasi: ümberseadistamisel, puhastamisel, hoolduses, rikete korral, uuenduste ajal, teenindusühenduste kaudu ja raskete sõlmede vahetamisel.
Kui projekt neid olukordi ei näe, ei paranda kasutusjuhend projekti.
„Kätt mitte panna”, „kasutada sobivat platvormi” ja „turvata võrk” võivad olla olulised laused. Need võivad kuuluda lõplikku ohutuspaketti. Aga need ei tohi teeselda, et varem ei pidanud küsima raskemaid küsimusi.
Õige küsimus ei ole: kas hoiatus on kasutusjuhendis olemas. Õige küsimus on: mida tootja tegi enne, kui ta selle hoiatuse sinna kirjutas?