On alue, johon koneenkäyttäjä voi yltää kädellään.
On liikkuva osa, joka voi tarttua käteen.
On työvaihe, jota joku tekee oikeasti: jumien poisto, puhdistus, asettelu, tarkistus pysäytyksen jälkeen.
Sitten riskin arvioinnin taulukkoon ilmestyy kirjaus: jäännösriski — tieto käyttöohjeessa — älä työnnä käsiä.
Paperilla se näyttää siistiltä. Vaaratekijä kuvattu. Riski nimetty. Ohje täydennetty. Mutta koneturvallisuudessa tällainen kirjaus ei usein selkeytä asiaa. Se peittää sen.
Jäännösriski ei ole yhteinen säkki, johon heitetään kaikki se, mitä suunnittelussa ei ratkaistu. Se ei ole myöskään tapa siirtää vastuuta valmistajalta käyttäjälle. Se on riski, joka jää jäljelle vasta suunnittelutyön jälkeen: kun on katsottu, voidaanko vaaratekijä poistaa rakenteellisesti, valittu tekniset suojaustoimenpiteet ja arvioitu, vähentävätkö ratkaisut oikeasti ihmisen altistumista.
Vasta silloin voi sanoa rehellisesti: tähän jää jotakin, ja käyttäjän pitää tietää se.
Käytännössä raja kuitenkin sumenee. Valmistaja sanoo: ”kuvasimme sen ohjeessa”. Integraattori sanoo: ”käyttäjän pitää kouluttaa henkilöstö”. Käyttäjä kuulee: ”tämä on jo teidän työn organisointia”. Silti ISO 12100 ja Koneasetus (EU) 2023/1230 asettavat järjestyksen selväksi: ensin suunnittelu, sitten suojaustoimenpiteet, lopuksi tieto käyttäjälle.
Sama ongelma näkyy nyt myös verkkoon liitetyissä koneissa. Etäyhteys, huoltotilit, ohjainkonfiguraatio, päivitykset ja data eivät ole pelkkä käyttäjän IT-osaston asia, jos ne voivat vaikuttaa koneen turvallisuuteen. Silloinkaan ei riitä lause: ”käyttäjän tulee suojata verkko”. Valmistajan pitää toimittaa kone, jossa tällaiset riskit on huomioitu alusta asti.
Siksi oikea kysymys ei ole: lukeeko ohjeessa varoitus. Oikea kysymys on: mitä valmistaja teki ennen kuin kirjoitti varoituksen sinne?
Jäännösriski ei ole vapaa kenttä taulukossa
ISO 12100:ssa kannattaa pysähtyä yhteen kuvaan. Ei määritelmään eikä pelkkään kolmen askeleen menetelmään, vaan kaavioon, joka näyttää riskin pienentämisen suunnittelijan näkökulmasta. Se kuva järjestää vastuun hyvin konkreettisesti.
Ensin on koneeseen liittyvä riski. Sitten tulee suunnittelijan panos. Sen jälkeen jäännösriski suunnittelijan suojaustoimenpiteiden jälkeen. Sitten käyttäjän panos. Ja vasta lopussa jäännösriski kaikkien suojaustoimenpiteiden jälkeen.
Tämä ei ole koulutuskalvon koriste. Se on raja, jota ei saa sotkea.
Suunnittelijan puolella ovat itsessään turvalliset rakenteelliset ratkaisut, tekniset suojaustoimenpiteet, täydentävät suojaustoimenpiteet ja käyttöä koskeva tieto. Käyttäjän puolella ovat työn organisointi, menettelyt, valvonta, lupakäytännöt, lisätekniset ratkaisut, henkilönsuojaimet ja koulutus.
Jäännösriski on siis todellakin valmistajan ja käyttäjän rajapinnassa. Mutta ei siinä mielessä, että kumpikin voi kaataa sinne sen, mikä sattuu sopimaan. Valmistaja ei voi työntää tähän lokeroon vaaratekijää, jota ei halunnut ratkaista rakenteellisesti. Käyttäjä ei voi myöskään teeskennellä, ettei ohjeella ja koulutuksella ole merkitystä, jos valmistaja on kuvannut rehellisesti ne riskit, joita ei voitu poistaa suunnittelussa.
Juuri siksi sana jäännösriski on vaarallinen, jos sitä käytetään kevyesti. Se kuulostaa tekniseltä. Se antaa helposti kätevän alibin suunnittelupäätöksen puuttumiselle.
Joku näkee kiinnitarttumiskohdan. Joku tietää, että koneenkäyttäjä poistaa jumia. Joku tietää, että puhdistuksessa käsi menee liikkuvan osan lähelle. Silti taulukkoon kirjoitetaan: ”jäännösriski — älä työnnä käsiä”.
Tällainen kirjaus ei vielä todista, että kyseessä on jäännösriski. Se kertoo vain, että joku nimesi ongelman jäännösriskiksi.
Jos käsitettä käytetään rehellisesti, pitää näyttää polku. Mitä tehtiin rakenteessa? Olisiko geometriaa, etäisyyttä, energiaa, nopeutta, pääsyä tai asettelutapaa voitu muuttaa? Mitä suojuksia, lukituksia, pakkolukituksia, käyttötiloja tai turvatoimintoja harkittiin? Miksi osa riskistä pitää todella kuvata käyttäjälle?
Vasta tällainen vastaus nostaa asian tasolta ”kirjoitimme sen ohjeeseen” tasolle, joka vastaa ISO 12100:n mukaista riskin arviointia. Standardi sanoo suoraan, että suunnitteluvaiheen toimenpiteet ovat etusijalla käyttäjän puolen toimenpiteisiin nähden, koska ne yleensä toimivat tehokkaammin. ISO/TR 14121-2 vahvistaa saman ajatuksen: käyttäjälle annettavan tiedon pitää ohjata koneen oikeaan ja turvalliseen käyttöön sekä varoittaa riskeistä, jotka jäivät jäljelle suunnittelun ja suojausten jälkeen.
Menettelyillä, koulutuksella ja LOTO-käytännöillä on paikkansa. Mutta ne eivät ole laastari suunnittelulle, jota valmistaja ei tehnyt. Muuten emme puhu jäännösriskistä. Puhumme riskistä, joka jätettiin käyttäjälle.
Kolme tilannetta, joissa jäännösriski toimii kätevänä alibina
1. ”Älä työnnä käsiä” ei korvaa suojusta
Katsotaan yksinkertaista tilannetta.
Koneessa on liikkuva osa. Koneenkäyttäjä voi yltää sen lähelle jumia poistaessaan, puhdistaessaan, syöttäessään kappaleen käsin tai tehdessään asettelua. Riskin arvioinnissa näkyy kiinnitarttumisen vaaratekijä. Suojaustoimenpiteiden sarakkeessa lukee: ”varoitus käyttöohjeessa”. Ohjeessa lukee: ”älä työnnä käsiä koneen työalueelle”.
Kuulostaako tutulta?
Ensisilmäyksellä dokumentti näyttää täytetyltä. Vaaratekijä on. Riski on. Varoitus on. Mutta koneturvallisuus ei ole sitä, että jokainen taulukon tyhjä kenttä saa jonkin tekstin. Kysymys kuuluu: mitä tapahtui ennen varoitusta?
Yrittikö joku poistaa kiinnitarttumiskohdan muuttamalla geometriaa? Rajoitettiinko liikkeen voimaa, nopeutta tai energiaa? Voitiinko asettelu siirtää vaara-alueen ulkopuolelle? Suunniteltiinko pienennetyn riskin asettelutila? Valittiinko suojus, lukitus, pakkolukitus, pito-ohjaus tai sallintalaite? Tarkistettiinko, miten koneenkäyttäjä todella poistaa jumit, ei miten hänen pitäisi toimia täydellisessä käyttöohjeessa?
Jos vastaus on: ”ei, mutta kirjoitimme ettei käsiä saa työntää”, emme ole vielä jäännösriskissä. Olemme riskissä, joka nimettiin jäännösriskiksi, koska se oli helpoin tie.
Tässä ISO 12100:n kuva 2 on epämukava. Se erottaa suunnittelijan panoksen käyttäjän panoksesta. Suunnittelijan puolella ovat itsessään turvallinen rakenne, tekniset suojaustoimenpiteet, täydentävät suojaustoimenpiteet ja käyttöä koskeva tieto. Käyttäjän puolella ovat työn organisointi, menettelyt, valvonta, lupajärjestelmät, lisätekniset toimenpiteet, henkilönsuojaimet ja koulutus.
Kyllä, jäännösriskillä on rajapintaluonne. Se koskee molempia. Mutta se ei tarkoita yhteistä säkkiä kaikelle sille, mitä ei hoidettu aikaisemmin. Yhteinen ei tarkoita epämääräinen. Yhteinen ei tarkoita: ”valmistaja kirjoittaa varoituksen ja käyttäjä jotenkin hoitaa”.
Yhteinen tarkoittaa tätä: valmistaja näyttää, mitä teki omalla puolellaan, mitä ei voitu poistaa ja mitä tietoja käyttäjälle annetaan. Käyttäjä järjestää työn näiden tietojen mukaan.
2. Huoltotaso ei ole koriste, jos sitä käytetään oikeaan työhön
Toinen esimerkki on vielä kiinnostavampi, koska sitä ei aina yhdistetä heti koneen riskin arviointiin.
Kuvitellaan kone, jossa suodatin pitää vaihtaa viikoittain. Anturi pitää puhdistaa jokaisen formaatinvaihdon yhteydessä. Voitelupiste on kahden metrin korkeudessa lattiasta. Jokin osa pitää irrottaa säännöllisesti koneen sisältä. Valmistaja kirjoittaa ohjeeseen: ”työt suoritetaan työturvallisuusperiaatteita noudattaen, käytetään asianmukaisia kulkuteitä ja kulkutasoja”.
Hyvä on. Mutta mitä kulkuteitä?
Hallin tikkaat? Kunnossapidon paikalle tuoma työtaso? Koneen rungolle kiipeäminen? Rakenneprofiilin päällä seisominen, koska ”näin on aina tehty”? Vai pitääkö koneenkäyttäjän pitää yhdellä kädellä kiinni suojuksesta, toisella irrottaa osa ja kolmannella — jota ei ole — vahtia työkalua?
Tässä teoria törmää lattiatason todellisuuteen. Jos valmistaja ennakoi säännöllisen käyttö-, kunnossapito-, puhdistus- tai säätötyön, sen pitää kysyä: miten ihminen pääsee sinne turvallisesti, missä hän seisoo ja miten työ tehdään ilman kikkailua?
Jokainen korkealla tehtävä työ koneella ei tarkoita, että valmistajan pitää rakentaa massiivinen huoltosilta. Mutta toiseenkaan suuntaan ei voi mennä. Ei voi teeskennellä, että toistuvan huoltokohteen saavutettavuus on pelkästään käyttäjän ongelma.
ISO 12100 osoittaa, että rutiininomaiset käyttö-, asettelu- ja kunnossapitotyöt pitäisi tehdä lattiatasolta, jos se on mahdollista. Jos se ei ole mahdollista, pitää suunnitella turvallinen pääsy: huoltotasot, portaat, kulkutiet, kaiteet tai muut ratkaisut. Tässä mukaan tulee ISO 14122 -sarja, joka käsittelee koneiden kiinteitä kulkuteitä.
Ja juuri silloin asia muuttuu oikeasti mielenkiintoiseksi.
Jos on olemassa tekninen ratkaisu, jolla toistuvat vaihdot, säädöt tai kunnossapito voidaan tehdä turvallisesti, miksi oletamme heti, että käyttäjä ratkaisee asian organisaatiolla? Miksi kiinteää huoltotasoa ei suunniteltu? Miksi ohje vaatii viikoittaisen työn vaikeapääsyisessä paikassa, mutta kone ei anna ihmiselle turvallista työpaikkaa? Miksi valmistaja kuvaa työn, mutta ei suunnittele sen tekemisen edellytyksiä?
Nämä eivät ole akateemisia kysymyksiä. Nämä ovat vastaanoton, auditoinnin ja tuotantohallin kysymyksiä. Jos käyttäjän pitää tehdä tietty työ säännöllisesti, pääsy kyseiseen paikkaan ei ole lisävaruste. Se on osa koneen turvallisuutta tai vähintään osa asennusvaatimuksia, jotka valmistajan pitää määrittää selvästi.
Muuten syntyy taas kätevä oikopolku: ”jäännösriski — käyttäjän on käytettävä asianmukaisia kulkuteitä”. Usein tällainen lause ei kuvaa jäännösriskiä. Se kuvaa puuttuvaa suunnittelupäätöstä.
3. Etäyhteys ja kyberturvallisuus eivät ole pelkkä IT-lappu
Kolmas esimerkki näyttää modernimmalta, mutta mekanismi on sama.
Koneessa on etäyhteys. Siinä on ohjain, HMI, teollisuustietokone, huoltotilit, päivitysmahdollisuus, tiedonsiirto ja joskus yhteys ylempään järjestelmään. Valmistaja sanoo: ”käyttäjän pitää suojata verkko”. IT saa asian eteensä vastaanoton jälkeen. Kunnossapito haluaa, että huolto pääsee nopeasti sisään. Tuotanto haluaa, että kone käy. Kaikilla on perustelunsa.
Mutta kysytään yksinkertainen kysymys: voiko tämän kerroksen murtuminen vaikuttaa koneen turvallisuuteen?
Jos etäyhteydellä voidaan muuttaa parametreja, käyttötiloja, ohjauslogiikkaa, HMI-konfiguraatiota tai turvatoimintoihin liittyviä tietoja, asia ei ole pelkkä yrityksen palomuurikysymys. Jos kone toimitetaan oletussalasanoilla, kuvaamattomilla tileillä, avoimella etäyhteydellä tai epäselvällä päivitysmenettelyllä, on vaikea väittää, että koko kyberturvallisuusriski on käyttäjän puolella.
Käyttäjällä on tietenkin velvollisuutensa. Käyttäjän pitää hallita verkkoa, tilejä, käyttöoikeuksia, varmuuskopioita, päivityksiä, segmentointia ja muutosten menettelyjä. Mutta valmistaja ei voi toimittaa konetta tilassa ”suojaatte tämän jotenkin itse” ja kutsua sitä jäännösriskiksi.
Erityisesti Koneasetus (EU) 2023/1230 tuo kyberturvallisuuden lähemmäs koneturvallisuutta silloin, kun laitteiston, ohjelmiston tai datan häiriö voi johtaa vaaratilanteeseen.
Tässäkin logiikka on sama: ensin suunnittelu, sitten tekniset toimenpiteet ja vasta sen jälkeen tieto käyttäjälle. Ei toisin päin.
Siksi kaikissa näissä kolmessa esimerkissä — kiinnitarttumisessa, huoltotasoissa ja kyberturvallisuudessa — pitää palata yhteen kysymykseen: pienensikö valmistaja riskiä oikeasti vai kuvasiko se riskin vain käyttäjälle?
Kysymys on epämukava, mutta välttämätön. Jäännösriskin tehtävä ei ole sulkea taulukkoa nätisti. Sen tehtävä on näyttää, mitä koneen puolelle, työn organisoinnin puolelle ja näiden rajapintaan todella jää.
Jos valmistaja on tehnyt työnsä, käyttäjän pitää ottaa tieto vakavasti. Sen pitää kouluttaa ihmiset, pitää suojaukset kunnossa, organisoida työ ja estää suojaustoimenpiteiden ohittaminen. Mutta jos valmistaja ei tehnyt työtään, käyttöohje ei korjaa suunnittelua.
”Älä työnnä käsiä”, ”käytä asianmukaista huoltotasoa” ja ”suojaa verkko” voivat olla tärkeitä tietoja. Ne voivat olla osa lopullista turvallisuuspakettia. Mutta ne eivät saa teeskennellä, ettei vaikeampia kysymyksiä olisi pitänyt kysyä jo aikaisemmin.
Milloin jäännösriski on oikeasti jäännösriski?
Näiden esimerkkien jälkeen yksi asia on selvä: jokainen koneeseen jäänyt riski ei ansaitse heti nimeä jäännösriski.
Mitä ”jäänyt” oikeastaan tarkoittaa?
Jäikö riski rakenteen muutoksen jälkeen? Jäikö se suojuksen, lukituksen, pakkolukituksen tai asettelutilan jälkeen? Jäikö se sen jälkeen, kun voitelupiste siirrettiin vaara-alueen ulkopuolelle? Jäikö se sen jälkeen, kun kunnossapitokohteelle suunniteltiin kiinteä kulkutie? Vai jäikö se siksi, ettei kukaan halunnut koskea asiaan ja varoituksen lisääminen oli helpointa?
Nämä ovat kaksi täysin eri tilannetta.
ISO 12100 erottaa asian tarkasti. On jäännösriski suunnittelijan toimenpiteiden jälkeen ja jäännösriski kaikkien toimenpiteiden jälkeen, myös käyttäjän puolen toimenpiteiden jälkeen. Kuvassa 2 jako näkyy hyvin: ensin suunnittelijan panos, sitten käyttäjän panos ja niiden välissä alue, jossa valmistajan antama tieto pitää oikeasti viedä käyttäjän työn organisointiin.
Siksi jäännösriskiä ei saa käsitellä löysänä sarakkeena. Se ei ole paikka lauseelle: ”käyttäjä noudattaa varovaisuutta”. Se on paikka konkreettiselle päätelmälle tehdyn suunnittelutyön jälkeen.
Yksinkertainen suodatin näyttää tältä:
| Kysymys | Jos vastaus on kyllä | Jos vastaus on ei |
|---|---|---|
| Onko vaaratekijä kuvattu konkreettisesti: missä, milloin, kuka altistuu ja missä työvaiheessa? | Voidaan arvioida eteenpäin, puhutaanko jäännösriskistä. | Kyse ei ole vielä riskin arvioinnista, vaan yleisestä vaarakuvauksesta. |
| Tarkistiko valmistaja, voidaanko vaaratekijä poistaa rakenteellisesti? | Edetään ISO 12100:n logiikan mukaisesti. | Varoitus käyttöohjeessa tulee liian aikaisin. |
| Harkittiinko teknisiä suojaustoimenpiteitä: suojuksia, lukituksia, pakkolukituksia, käyttötiloja, pito-ohjausta, energian, nopeuden tai voiman rajoittamista? | Voidaan perustella, miksi osa riskistä jää edelleen. | Riski ei todennäköisesti ole jäännösriski, vaan keskeneräinen suunnitteluasia. |
| Osoittiko valmistaja, miksi tiettyä toimenpidettä ei käytetty? | Dokumentaatio näyttää insinööripäätöksen. | Meillä on aukko. Aukko ei muutu jäännösriskiksi sillä, että joku nimeää sen niin. |
| Onko tieto käyttäjälle konkreettista? | Käyttäjä tietää, mitä pitää tehdä: milloin, miten, millä välineillä ja missä olosuhteissa. | ”Noudata varovaisuutta” tai ”älä työnnä käsiä” ei riitä. |
| Onko käyttäjällä todellinen vaikutusmahdollisuus kyseiseen toimenpiteeseen? | Asia voi kuulua käyttäjän puolelle: koulutus, LOTO, valvonta, menettely, kunnossapito, PPE ja työn organisointi. | Ei saa teeskennellä, että käyttäjä ottaa haltuun asian, jota se ei voi tehokkaasti hallita. |
| Voidaanko käyttäjän puolen toimenpide pitää käytännössä yllä? | Voidaan puhua jaetusta vastuusta. | Jos ratkaisu vaatii jatkuvaa ”ihmisten vahtimista” ja tekninen keino olisi ollut mahdollinen, ongelma palaa valmistajalle. |
| Tarkistettiinko suojaustoimenpiteen jälkeen, syntyikö uutta riskiä? | Riskin arvioinnin silmukka on suljettu. | Prosessi ei ole valmis. ISO/TR 14121-2 muistuttaa, että toimenpiteiden jälkeen pitää tarkistaa, vähenikö riski ja syntyikö uusia vaaratekijöitä. |
Tämä taulukko ei ole virallinen algoritmi. Se on terveen järjen suodatin. Jos sen jälkeen käteen jää vain lause ”koneenkäyttäjän pitää olla varovainen”, olemme liian aikaisin. Emme ole vielä päässeet jäännösriskiin.
Vastuu pitää samalla erottaa.
| Alue | Mitä valmistajan pitää tehdä | Mitä käyttäjä oikeasti ottaa haltuun |
|---|---|---|
| Kiinnitarttuminen, puristuminen, kosketus liikkeeseen | Suunnittelu, geometria, energian rajoittaminen, suojukset, lukitukset, käyttötilat, turvatoiminnot ja selkeä kuvaus riskistä, jota ei saatu poistettua. | Koulutus, valvonta, suojusten ja lukitusten kunnossapito, jumien poiston menettelyt ja suojaustoimenpiteiden ohittamisen kielto. |
| Puhdistus, asettelu, kunnossapito | Näiden työvaiheiden huomiointi riskin arvioinnissa, pääsyn rajoittaminen vaara-alueille, huoltotilat, asettelupisteet vaara-alueen ulkopuolella ja turvallinen pääsy. | Työn organisointi, henkilöstön pätevyys, LOTO, kunnossapitosuunnitelma ja suojaustoimenpiteiden kunnon tarkastus. |
| Korkealla oleva pääsy, huoltotasot, kulkutiet | Arvio siitä, onko työ toistuva ja ennakoitava; kiinteän kulkutien suunnittelu tai sen vaatimusten määrittely, jos se on tarpeen. | Kulkuteiden kunnossapito, järjestys, oikean henkilöstön pääsy sekä valmistajan osoittamien menettelyjen ja välineiden käyttö. |
| Kyberturvallisuus ja etäyhteys | Turvallinen arkkitehtuuri, pääsyn rajoittaminen, tilien hallinta, rajapintojen kuvaus, päivityssäännöt sekä turvallisuuteen liittyvien tietojen ja ohjelmistojen suojaus. | Verkon segmentointi, tilien hallinta, muutosten menettelyt, varmuuskopiot ja huoltoyhteyksien valvonta. |
| Käyttöohjeen tieto | Konkreettiset varoitukset, riskin kuvaus, turvallisen käytön ehdot, käyttäjältä vaadittavat toimenpiteet sekä käytön kiellot ja rajoitukset. | Tiedon vieminen käytäntöön: koulutus, työpisteohjeet, valvonta ja sääntöjen noudattamisen varmistaminen. |
Tässä on asian ydin.
Jäännösriski voi olla yhteinen. Mutta yhteinen ei tarkoita epäselvä. Yhteinen ei tarkoita: ”valmistaja kirjoitti, käyttäjä vastaa”. Yhteinen ei tarkoita: ”työsuojelu tekee menettelyn, joten suunnittelu on kunnossa”.
Yhteinen tarkoittaa paljon vaativampaa asiaa: valmistajan pitää näyttää, mitä se teki koneen puolella, ja käyttäjän pitää ottaa haltuun se, mikä todella riippuu työn organisoinnista, valvonnasta, kunnossapidosta ja käyttöolosuhteista.
Hyvässä riskin arvioinnissa kohta ”jäännösriski” ei ole viimeinen pelastuslauta. Sen pitää olla rehellisen päättelyn loppu: tässä oli vaaratekijä, tämän teimme suunnittelussa, tämän teimme teknisesti, tätä ei voida enää järkevästi poistaa luomatta suurempaa ongelmaa, ja tällaiset tiedot sekä vaatimukset annamme käyttäjälle.
Vasta silloin jäännösriski kuulostaa riskin arvioinnin päätelmältä. Ei peitteeltä puuttuville päätöksille.
Taulukko jäsentää, mutta ei korvaa todellista työtä
Vastuun jako näyttää hyvältä vasta, kun se laskeutuu yleisistä lauseista koneella tehtävään todelliseen työhön. On helppo kirjoittaa: ”käyttäjä vastaa työn organisoinnista”, ”käyttäjä käyttää asianmukaisia kulkuteitä”, ”käyttäjä suojaa verkon”. Vaikeampaa on tarkistaa, saiko käyttäjä koneen, jota voidaan turvallisesti käyttää, puhdistaa, huoltaa ja ylläpitää.
Nopea todellisuustarkistus näyttää tältä:
Otetaan huoltotaso.
Piirustuksessa kaikki voi näyttää hyvältä. Teräsrakenne, ritilä, kaide, kulku. Pääsy suunniteltu? Suunniteltu. Asia suljettu? Ei välttämättä.
Ensin pitää kysyä: mitä työtä varten tämä huoltotaso on olemassa?
Jos työntekijä käy kerran vuodessa lukemassa mittarin tai tarkistamassa kilven, tilanne on yksi. Jos samalta tasolta pitää säännöllisesti vaihtaa moottori, vaihde, sylinteri, rulla, pää, suodatin tai muu kulutusosa, emme puhu enää pelkästä pääsystä. Puhumme huoltotyöpisteestä.
Silloin yleinen lause käyttöohjeessa ei riitä.
Kuka sinne menee? Yksi työntekijä vai kaksi kunnossapidon asentajaa? Mitä he vievät mukanaan: työkalupakin, momenttiavaimen, nostoraksit, varaosan? Mitä irrotetaan: 20 kg kansi, 80 kg vaihdemoottori, 150 kg vaihde vai 500 kg moottori? Mihin osa lasketaan irrotuksen jälkeen? Huoltotasolle, vaunuun vai nostimeen? Onko suunniteltu kuljetusportti, ripustuspiste, nostin, osan poistoreitti ja työtila kahdelle ihmiselle? Kattaako huoltotason kantavuus vain ihmisen vai myös työkalut, osat, paikalliskuormat ja purkutyössä syntyvät voimat?
Nämä ovat hallin kysymyksiä, eivät koulutusesityksen kysymyksiä.
Jos ohje sanoo, että 500 kg moottori vaihdetaan huoltotasolta, huoltotason pitää vastata tätä työtä. Ei työtä ”koneenkäyttäjä jakoavain kädessä”, vaan todellista tehtävää: kaksi työntekijää, työkalut, irrotettava osa, manövrointitila, putoamisen estäminen, osan kuljetus ja turvallinen lasku lattiatasolle.
Muuten ratkaisu on näennäinen. Huoltotaso on olemassa, mutta se ei ratkaise tehtävää. Pääsy on olemassa, mutta se ei takaa turvallista kunnossapitoa. Ohje kuvaa työn, mutta suunnittelu ei anna edellytyksiä sen tekemiseen.
Ja nyt tärkein kysymys: onko tämä jäännösriski?
Jos valmistaja ennakoi säännöllisen huoltotyön mutta ei suunnittele turvallista tapaa tehdä sitä, on vaikea puhua rehellisesti kuvatusta jäännösriskistä. Se on pikemminkin koneen ylläpitokonseptin keskeneräisyyttä. Käyttäjä vastaa työn organisoinnista, henkilöstön pätevyydestä, LOTO-menettelyistä, valvonnasta ja huoltotason kunnon ylläpidosta. Mutta käyttäjän ei pitäisi vasta vastaanoton jälkeen huomata, että raskaan kokoonpanon vaihtaminen vaatii improvisointia.
Kyberturvallisuudessa kuvio on hyvin samanlainen.
Kone saapuu huoltotilillä. Käyttäjätunnus: admin. Salasana: admin. Etäyhteys toimii, koska ”huollon pitää päästä jotenkin sisään”. Dokumentaatio sanoo, että käyttäjän pitää suojata verkko. IT saa asian käsiinsä käyttöönoton jälkeen. Kunnossapito ei halua estää yhteyttä, koska koneen pitää tuottaa. Huolto haluaa reagoida nopeasti. Jokaisella osapuolella on argumenttinsa.
Mutta kysymys on yksinkertainen: toimittiko valmistaja koneen turvallisessa oletuskonfiguraatiossa?
Kyse ei ole siitä, että valmistaja vastaisi käyttäjän koko tehdasverkosta. Se olisi irti todellisuudesta. Käyttäjän pitää hallita käyttöoikeuksia, segmentointia, varmuuskopioita, muutosten menettelyjä, tilejä, päivityksiä ja huoltoyhteyksien valvontaa.
Mutta valmistaja ei voi luovuttaa konetta ilmeisellä heikkoudella ja sanoa: ”tämä on teidän IT”. Jos etäyhteys, tilit, ohjelmisto, HMI-konfiguraatio tai data voivat vaikuttaa koneen käyttäytymiseen, tämä kerros kuuluu turvallisuuden arviointiin. Aivan kuten suojus, lukitus tai huoltotila.
admin/admin ei ole pikkuasia. Se on digitaalinen vastine huoltotasolle, joka on kyllä olemassa mutta jonka kantavuus ei riitä oikeaan työhön. Dokumentaatiossa jotakin on. Todellisuudessa käyttäjä saa korjattavan ongelman.
Siksi hyvä tieto käyttäjälle ei ole lause: ”suojaa verkko”. Hyvä tieto kertoo, mitä tilejä on, mitä käyttöoikeusrooleja on suunniteltu, mitä pitää muuttaa ensimmäisessä käyttöönotossa, miten etähuolto toimii, kuka saa päivittää ohjelmiston, mitkä konfiguraation osat vaikuttavat turvallisuuteen, miten asetukset palautetaan ja millaiset verkkoolosuhteet valmistaja on olettanut koneen turvalliselle käytölle.
Vasta silloin voidaan keskustella rehellisesti käyttäjän vastuusta. Silloin käyttäjä tietää, mitä se ottaa haltuun. Silloin jäännösriski on oikeasti koneen ja työn organisoinnin rajapinnassa.
Ilman sitä kyse on vain ongelman siirtämisestä.
Siksi jäännösriskin käsitettä ei saa käyttää kevyesti. Sen ei pidä sulkea epämukavia kysymyksiä. Sen pitää näyttää, mitä jää valmistajan puolelle, mitä siirtyy käyttäjälle ja mitä ehtoja molempien pitää täyttää, jotta kone pysyy turvallisena normaalissa käytössä.
Kone ei pääty CE-vaatimustenmukaisuusvakuutukseen.
Se jatkaa työtään: formaatinvaihdoissa, puhdistuksessa, kunnossapidossa, häiriöissä, päivityksissä, huoltoyhteyksissä ja raskaiden kokoonpanojen vaihdossa.
Jos suunnittelu ei ennakoi näitä tilanteita, käyttöohje ei niitä korjaa.