A lényeges módosítás megítélése általában már az első kérdésnél félremegy. Nem az a döntő, mennyi acélt hegesztettél a gépre, hány elemet cseréltél ki, vagy látványos-e az átépítés. A helyes kérdés sokkal kellemetlenebb: mit tett ez a változás a kockázattal? Az (EU) 2023/1230 rendelet szempontjából nem a beavatkozás mérete a kulcs, hanem az, hogy a gép biztonsága megváltozott-e. Ha a gyártó által nem előirányzott változtatás új veszélyes helyzetet hozott létre, növelte a meglévő kockázatot, és emiatt további védőintézkedésre volt szükség, akkor már nem egyszerű műszaki finomhangolásról beszélünk.
És itt jön a kellemetlen rész. A kérdés nem pusztán műszaki. A lényeges módosítás felelősségi kérdés is. Ha a változás miatt újra kell építeni a biztonságot – például módosítani kell a biztonsággal kapcsolatos vezérlőrendszert, vagy ellenőrizni kell a mechanikai szilárdságot –, akkor a módosítást végző szereplő könnyen a gyártó szerepébe kerülhet az érintett rész tekintetében. Ez már nem az a terep, ahol elég annyit mondani, hogy „így szoktuk csinálni”.
A lényeges módosítás nem ott kezdődik, ahol sokat építesz át
Sokan még mindig darabra számolnak. Mit tettünk hozzá? Mit cseréltünk ki? Mekkora volt az átépítés? Biztonsági szempontból ezek másodlagos kérdések. Az (EU) 2023/1230 rendelet logikája másról szól: a forgalomba hozatal vagy üzembe helyezés után végzett fizikai és digitális változtatások akkor válnak kritikussá, ha megváltoztatják a gép biztonsági viselkedését.
Nem azt nézzük, hogy került-e fel új védőburkolat vagy új érzékelő. Azt nézzük, hogy megváltozott-e az ember–gép kapcsolat, a gép funkciója, a gép korlátai, a hozzáférés módja vagy a veszélyes esemény lefolyása. Röviden: nem az alkatrészt vizsgáljuk, hanem a kockázat szerkezetét. Ez a különbség papíron finomnak tűnik, a valóságban viszont eldönti, hogy egy módosítás adminisztratív apróság marad-e, vagy teljes megfelelőségi és felelősségi lavinát indít el.
Ezért félrevezető az a gondolkodás, hogy a kis változás biztosan nem fontos, a nagy változás pedig biztosan az. Láttunk már olyan apró szoftveres beavatkozást, amely veszélyesebb következményt hozott, mint egy komoly mechanikai átépítés. A biztonság mérlegén a digitális változás ugyanannyit nyomhat, mint az acél.
A leggyakoribb hiba: a védőintézkedést nézik, nem a változást
A gyakorlatban a téves értékelés legtöbbször így indul: „tettünk fel egy védőburkolatot”, „beraktunk egy vészleállító berendezést”, „felszereltünk egy fényfüggönyt”. Ismerős mondatok. Csakhogy ezek a mondatok többnyire nem a problémát írják le, hanem a tünetet. A védőintézkedés nem maga a módosítás. A védőintézkedés általában válasz valamire, ami korábban megváltozott.
Ha egy új védőintézkedés szükségessé válik, az gyakran azt jelzi, hogy előtte megváltozott a veszélyes helyzet. Lehet, hogy a kezelő bekerült egy korábban elzárt zónába. Lehet, hogy a gép új üzemmódban kezd működni. Lehet, hogy a hozzáférés gyakoribb vagy közvetlenebb lett. A védőburkolat, a fényfüggöny vagy a vészleállító berendezés ilyenkor nem ok, hanem következmény.
Ezért rossz a kérdés, hogy „a védőburkolat felszerelése lényeges módosítás-e?”. A helyes kérdés így hangzik: mi változott meg úgy a gép használatában vagy viselkedésében, hogy a védőburkolat szükségessé vált? Ugyanez igaz a vezérlési logikára, az érzékelőkre, a hajtásparaméterekre és a szoftveres korlátozásokra is.
Gyakorlati példa: „csak egy vészleállító berendezést teszünk be”
Ez az egyik leggyakoribb mondat, és első hallásra ártalmatlannak tűnik. A megrendelő úgy érzi, biztonságot növel: a gépsor közepére még egy vészleállító berendezést rak, hogy szükség esetén gyorsabban lehessen megállítani a folyamatot. Jól hangzik. Csak éppen a mondat elhallgatja a lényeget.
A döntő kérdés itt nem az, hogy került-e be egy plusz gomb. A döntő kérdés az, hogy miért lett rá szükség. A valós esetek jelentős részében ilyenkor kiderül, hogy a kezelő bekerült a veszélyes zónába, vagy jóval közelebb került a mozgó részekhez, mint az eredeti kialakításban. Vagyis megváltozott az ember–gép kapcsolat, és létrejött egy új veszélyes helyzet.
A vészleállító berendezés ráadásul reakciós jellegű védőintézkedés. Arra való, hogy a már fennálló vagy közvetlenül fenyegető veszélyt megszakítsa. Ez fontos, de nem helyettesíti a megelőző biztonsági funkciókat. Ha a kockázatértékelés ISO 12100 szerint azt mutatja, hogy a kezelő hozzáférése miatt megelőző beavatkozás kell, akkor lehet, hogy felügyelt védőburkolatra, nyitáskor megállító funkcióra, fényfüggönyre, korlátozott sebességre vagy más, a biztonsággal kapcsolatos vezérlőrendszer által megvalósított funkcióra lesz szükség.
Másképp mondva: a gond nem a gomb hiánya volt. A gond az volt, hogy a gép használata megváltozott, és ezzel felborult az eredeti biztonsági struktúra. A vészleállító berendezés csak az egyik látható következmény.
Mikor lesz egy változásból lényeges módosítás?
Az (EU) 2023/1230 rendelet logikáját érdemes lecsupaszítani a lényegre. Akkor beszélünk lényeges módosításról, ha a forgalomba hozatal vagy üzembe helyezés után végzett változtatás nem volt a gyártó által előirányozva, hatással van a biztonságra új veszélyes helyzet létrehozásával vagy a meglévő kockázat növelésével, és további védőintézkedést tesz szükségessé, amelyhez a biztonsággal kapcsolatos vezérlőrendszer módosítása kell, vagy olyan intézkedést igényel, amely a mechanikai szilárdságot biztosítja.
Ez a definíció fontos, mert nem technológiai listát ad, hanem értékelési logikát. Nem azt mondja meg, hogy melyik csavar, szenzor vagy programrészlet számít kritikusnak. Azt mondja meg, milyen következmények esetén lépsz át egy másik felelősségi szintre.
Innen nézve a kérdés mindig ugyanaz: a változás után ugyanabban a biztonsági keretben működik-e a gép, mint korábban? Ha nem, akkor nem elég az intuíció. Bizonyítani kell, hogy az új állapot biztonságos.
Fizikai változások, amelyek látszólag ártatlanok
Dobogó, fellépő, új hozzáférés
Egy plusz dobogó vagy fellépő első ránézésre tisztán ergonómiai fejlesztésnek tűnik. Könnyebb elérni valamit, gyorsabb a kezelés, kényelmesebb a karbantartás. A gond az, hogy ezzel együtt megváltozhat a veszélyes zónához való hozzáférés. Ami korábban fizikailag vagy ésszerűen nem volt elérhető, az hirtelen kéznél lesz.
Ez új veszélyes helyzetet hozhat létre, mert a kezelő közelebb kerül a mozgó részekhez, más testhelyzetben dolgozik, más útvonalon közelít, és új rutint alakít ki. Ilyenkor gyakran már nem elég a meglévő kialakítás. Szükség lehet felügyelt védőburkolatra, belépésfelügyeletre, fényfüggönyre vagy olyan biztonsági funkcióra, amely meghatározott üzemmódban korlátozza a mozgást.
Nem a dobogó a lényeg. A lényeg az, hogy a hozzáférés megváltozott, és ezzel a kockázat is megváltozott.
Egy új védőburkolat is teremthet új kockázatot
Ez sokaknak kellemetlen igazság. A védőburkolat alapvető védőintézkedés, mégis lehet rosszul tervezni. Egy utólag hozzáadott védőburkolat ronthatja a láthatóságot, új műveleteket kényszeríthet ki, gyakoribb nyitogatást eredményezhet, vagy kedvezőtlenebb testhelyzetbe viheti a kezelőt. Szélsőséges esetben még szerkezeti terhelést is okozhat.
Ha a védőburkolat miatt új biztonsági funkció kell – például reteszelés, helyzetfelügyelet vagy megállítás nyitáskor –, akkor már nem egyszerű lemezmunkáról beszélünk. Itt már az egész biztonsági koncepcióhoz nyúltál hozzá.
Hajtáscsere vagy hajtásparaméter-módosítás
Ez az a terület, ahol sokan elhiszik, hogy „a gép ugyanaz maradt”. Pedig nem feltétlenül. Egy másik hajtás, nagyobb nyomaték, agresszívebb gyorsítási rámpa, módosított túlterhelési határ vagy eltérő fékezési viselkedés teljesen átírhatja a veszélyes esemény lefolyását.
Ha egy rendszer korábban túlterhelésnél megállt, az új beállítások után viszont tovább képes erőt kifejteni, akkor a meghibásodás következménye is más lesz. Lehet, hogy a megállás helyett szerkezeti deformáció jelenik meg, állékonysági gond lép fel, vagy teherhordó elemek károsodnak. Ilyenkor már nem csak vezérléstechnikai kérdésről beszélünk, hanem a mechanikai szilárdság vizsgálatáról is.
És megint: nem a motor a probléma. A probléma az, hogy a gép munkafeltételei megváltoztak, ezzel együtt pedig a biztonsági feltételek is.
A lényeges módosítás szoftverben is megszülethet
Rengeteg szervezet még mindig úgy tekint a lényeges módosításra, mintha az elsősorban mechanikai kérdés lenne. Védőburkolat, szerkezet, hozzáférés, hajtás. Pedig az (EU) 2023/1230 rendelet egyértelmű: a digitális úton végrehajtott változtatás is ide tartozhat. A szoftver nem kevésbé veszélyes attól, hogy nem látszik.
Ha megváltoztatod a vezérlési logikát, az újraindítás feltételeit, a munkaparamétereket, a hozzáférési jogosultságokat vagy a külső rendszerkapcsolatokat, akkor a gép viselkedését változtatod meg. Ha a gép másképp viselkedik, akkor a meglévő védőintézkedések hatásossága is megváltozhat.
Újraindítási logika és automatikus visszaindulás
Az egyik leginkább alábecsült beavatkozás az újraindítási logika módosítása. Kényelmesnek tűnik, hogy a gép egy védőburkolat bezárása után, a tápellátás visszatérésekor vagy kommunikáció helyreállása után automatikusan folytassa a munkát. Funkcionálisan csábító. Biztonsági szempontból viszont kritikus lehet.
Ha a kezelő elveszíti az uralmat a gép indulásának időpontja felett, az új veszélyes helyzetet teremthet akkor is, ha egyetlen csavar sem mozdult el. A váratlan indítás tipikus példája annak, amikor a láthatatlan szoftveres változás sokkal többet számít, mint egy szemmel jól látható mechanikai módosítás.
Munkaparaméterek módosítása
Sebesség, nyomaték, gyorsulás, mozgástartomány, reakcióidő. Ezeket gyakran puszta optimalizálásnak nevezik. A valóságban ezek a gép dinamikáját írják át. Ezzel megváltozik a kezelő reakcióideje, a meglévő védőintézkedések hatásossága és a veszélyes esemény lehetséges következménye is.
Aki ezt egyszerű hangolásnak hívja, az rendszerint rossz dolgot néz. Nem a paraméter neve számít, hanem a kockázatra gyakorolt hatása.
Kapcsolódás ERP, MES és middleware rétegekhez
Itt csúsznak el a legkönnyebben a cégek. A mondat általában így hangzik: „csak összekötjük a gépsort az ERP-vel”, „csak adatot küldünk a MES felé”, „csak beiktatunk egy middleware réteget”. Papíron ez informatikai projektnek látszik. A valóságban a gép működési környezete változik meg.
Új kommunikációs réteg jelenik meg, új jelutak, új hozzáférési pontok, új adatforrások, új beavatkozási lehetőségek. Ha a gyártó ezt az architektúrát nem ilyen formában tervezte meg, és a külső rendszerek hatással lehetnek a vezérlési döntésekre, a paraméterezésre vagy a konfigurációra, akkor a gép olyan viselkedést vehet fel, amelyre a meglévő védőintézkedéseket nem erre méretezték.
Nem azért merül fel a lényeges módosítás, mert csatlakozott az ERP. Azért, mert a csatlakozás megváltoztathatta a gép biztonság szempontjából releváns működését.
A biztonsági funkciók szoftveres átírása
A legközvetlenebb eset az, amikor magához a biztonsági logikához nyúlsz hozzá. A biztonsági PLC programjának módosítása, a reteszelések logikájának átírása, az engedélyezési feltételek, a reset-feltételek vagy a diagnosztikai viselkedés megváltoztatása nem egyszerű informatikai karbantartás. Ez a biztonsági funkció megvalósításának módosítása.
Ha ez a beavatkozás megváltoztatja a funkció hatásosságát, működését vagy architektúráját, akkor nagyon közvetlenül belépsz a lényeges módosítás területére. Itt különösen nincs helye a vállrándításnak.
Miért nem lehet becsületesen azt mondani, hogy biztosan nincs lényeges módosítás?
Ezt a mondatot sok cég szeretné hallani. Nyugtató. Gyors. Olcsó. Csak éppen sok esetben nem őszinte. A lényeges módosítás ugyanis nem ellenőrzőlistából olvasható ki teljes bizonyossággal. Az (EU) 2023/1230 rendelet nem egy technikai felsorolást ad, hanem a biztonságra gyakorolt hatás alapján kéri az értékelést.
Ahhoz pedig, hogy ezt felelősen meg lehessen ítélni, kockázatértékelés kell. Nem érzésre, nem rutinból, nem egyetlen mondat alapján. ISO 12100 szerinti kockázatértékelés szükséges: a gép korlátainak meghatározása, a veszélyes helyzetek azonosítása, a veszélyes események elemzése, a kockázat becslése és értékelése, majd annak vizsgálata, hogy a meglévő vagy új védőintézkedések megfelelnek-e a megváltozott körülményeknek.
Tapasztalt mérnökként sokszor gyorsan meg lehet mondani, ha valami valószínűleg lényeges módosítás. A fordított állításnál viszont sokkal több alázat kell. Azt kijelenteni, hogy biztosan nincs lényeges módosítás, kockázatértékelés nélkül többnyire nem szakmai magabiztosság, hanem vakmerőség.
És van még egy fontos szempont. A kellő gondosság nem hangzatos kifejezés, hanem védhető munkamódszer. Ha később bárki megkérdezi, mire alapozva mondtad, hogy a változás nem érintette a biztonságot, akkor nem az számít, mennyire voltál meggyőző a tárgyalóban. Az számít, hogy tudod-e dokumentáltan igazolni az értékelésedet.
A lényeges módosítás valójában felelősségváltás
Sok vállalat még mindig technikai részletként kezeli ezt a témát. Valami, amit le kell ellenőrizni, le kell egyeztetni, aztán lehet menni tovább. Ez tévedés. A lényeges módosítás nem egyszerűen műszaki kategória. Felelősségi kategória.
Abban a pillanatban, amikor egy fizikai vagy digitális változtatás miatt a gép biztonságát újra kell tervezni, már nem csak arról beszélünk, hogy ügyesebb, gyorsabb vagy kényelmesebb lett a rendszer. Arról beszélünk, hogy ki viseli a felelősséget azért, hogy a módosított gép vagy a módosított géprész megfelel a biztonsági követelményeknek.
Ezért a végső kérdés nem az, hogy a változtatás technikailag indokolható volt-e. Nem is az, hogy a szakmában szokás-e ilyet csinálni. A valódi kérdés ez: a változás után képes vagy-e szakszerűen, dokumentáltan és védhetően igazolni, hogy a gép továbbra is biztonságos? Ha igen, akkor kézben tartod a helyzetet. Ha nem, akkor ott kezdődik az igazi kockázat.
Röviden: nem azt nézzük, mit raktál hozzá a géphez. Azt nézzük, hogy a változás mit tett a kockázattal. Ha ezt a kérdést rosszul teszed fel, rossz döntést fogsz hozni. Ha jól teszed fel, már jó eséllyel a megfelelő úton jársz.