Liekamoji rizika mašinoje.
TL;DR
  • Liekamoji rizika – tai po projektavimo ir apsaugos priemonių likusi rizika, o ne būdas pridengti neišspręstą konstrukcinį pavojų.
  • Įspėjimas instrukcijoje turi prasmę tik po geometrijos, energijos, prieigos, apsaugų, blokavimų ir darbo režimų įvertinimo.
  • ISO 12100 ir Mašinų reglamentas (ES) 2023/1230 nustato tvarką: pirma saugus projektas, tada apsaugos, galiausiai informacija naudotojui.
  • Gamintojas negali perkelti nepašalintos rizikos naudotojui; naudotojas atsako už procedūras, mokymus, priežiūrą ir darbo organizavimą.
  • Prijungtose mašinose nuotolinė prieiga, paskyros, atnaujinimai ir konfigūracija taip pat turi būti vertinami kaip galintys paveikti saugą.

Yra zona, į kurią operatorius gali įkišti ranką.

Yra judantis elementas, kuris gali sugriebti plaštaką.

Yra veiksmas, kurį žmogus tikrai atliks: šalins užstrigimą, valys, derins, tikrins po sustabdymo.

O tada rizikos vertinimo lentelėje atsiranda įrašas: liekamoji rizika — informacija instrukcijoje — nekišti rankų.

Popieriuje atrodo tvarkingai. Pavojus aprašytas. Rizika pavadinta. Instrukcija papildyta. Tik mašinų saugoje toks įrašas labai dažnai ne sutvarko temą, o ją uždengia.

Nes liekamoji rizika nėra laisvas langelis lentelėje, į kurį sumetama viskas, kas nebuvo išspręsta projekte. Tai nėra būdas perkelti atsakomybę nuo gamintojo naudotojui. Tai rizika, kuri lieka po atlikto inžinerinio darbo: po patikrinimo, ar pavojų galima pašalinti konstrukciškai, po techninių apsaugos priemonių parinkimo ir po įvertinimo, ar tie sprendimai iš tikrųjų sumažina žmogaus poveikį pavojui.

Tik tada galima sąžiningai pasakyti: čia dar kažkas lieka, ir naudotojas privalo apie tai žinoti.

Praktikoje ši riba dažnai išplaunama. Gamintojas sako: „aprašėme instrukcijoje“. Integratorius sako: „naudotojas turi apmokyti žmones“. Naudotojas girdi: „čia jau jūsų darbo organizavimas“. Bet ISO 12100 ir Mašinų reglamentas (ES) 2023/1230 atsakomybę sudėlioja konkrečia tvarka: pirmiausia projektas, tada apsaugos priemonės, gale informacija.

Tas pats šiandien grįžta ir su į tinklą prijungtomis mašinomis. Nuotolinė prieiga, serviso paskyros, valdiklio konfigūracija, atnaujinimai ir duomenys nėra vien naudotojo IT skyriaus reikalas, jeigu tai gali paveikti mašinos saugą. Čia nepakanka parašyti: „naudotojas turi apsaugoti tinklą“. Gamintojas turi tiekti mašiną, kuri nuo pradžių įvertina tokias rizikas.

Todėl klausimas nėra toks: ar instrukcijoje atsirado įspėjimas?

Klausimas toks: ką gamintojas padarė prieš įrašydamas tą įspėjimą?

Liekamoji rizika nėra laisvas langelis lentelėje

ISO 12100 verta sustoti prie vieno paveikslo. Ne vien prie apibrėžimo. Ne vien prie trijų žingsnių metodo. Prie schemos, kuri rodo rizikos mažinimą projektuotojo požiūriu.

Ta schema labai gerai sudėlioja atsakomybę. Pirmiausia turime su mašina susijusią riziką. Tada projektuotojo indėlį. Po jo — liekamąją riziką po projektuotojo taikytų apsaugos priemonių. Vėliau — naudotojo indėlį. Ir tik pabaigoje — riziką, kuri lieka po visų apsaugos priemonių.

Tai nėra gražus mokymų skaidrės papuošalas. Tai konkreti riba, kurios negalima trinti.

Projektuotojo pusėje yra savaime saugūs konstrukciniai sprendimai, techninės apsaugos priemonės, papildomos apsaugos priemonės ir informacija apie naudojimą. Naudotojo pusėje atsiranda darbo organizavimas, procedūros, priežiūra, leidimų sistemos, papildomos techninės priemonės, asmeninės apsaugos priemonės ir mokymas.

Taip, liekamoji rizika iš tikrųjų yra gamintojo ir naudotojo sandūroje. Bet ne ta prasme, kad kiekvienas gali ten įrašyti, kas patogu. Gamintojas negali perstumti į šią zoną pavojaus, kurio nenorėjo spręsti konstrukciškai. Naudotojas taip pat negali apsimesti, kad instrukcija ir mokymas neturi reikšmės, jeigu gamintojas sąžiningai aprašė rizikas, kurių po projekto sprendimų pašalinti nepavyko.

Būtent todėl sąvoka „liekamoji rizika“ gali būti pavojinga. Ji skamba techniškai, todėl lengvai pridengia nepriimtą projektinį sprendimą. Kažkas mato sugriebimo tašką. Kažkas žino, kad operatorius šalins užstrigimus. Kažkas supranta, kad valant reikės ranka priartėti prie judančio elemento. Ir vis tiek lentelėje atsiranda: „liekamoji rizika — nekišti rankų“.

Toks įrašas dar neįrodo, kad turime liekamąją riziką. Jis tik parodo, kad kažkas problemą taip pavadino.

Norint vartoti šią sąvoką sąžiningai, reikia parodyti kelią. Kas padaryta konstrukcijoje? Ar buvo galima pakeisti geometriją, atstumą, energiją, greitį, prieigą arba derinimo būdą? Kokie apsaugai, blokavimo įtaisai, užrakinimas, darbo režimai ar saugos funkcijos buvo svarstytos? Kodėl dalį rizikos iš tiesų reikia aprašyti naudotojui?

Tik toks atsakymas perkelia temą iš lygio „įrašėme instrukcijoje“ į ISO 12100 atitinkantį rizikos vertinimą. Standartas aiškiai rodo, kad projektavimo etape taikomos priemonės yra prioritetinės, nes jos paprastai veikia patikimiau už priemones naudotojo pusėje. Tą patį sustiprina ISO/TR 14121-2: informacija naudotojui turi padėti teisingai ir saugiai naudoti mašiną bei įspėti apie rizikas, kurios liko po rizikos mažinimo projektu ir apsaugomis.

Procedūros, mokymai ir LOTO turi savo vietą. Bet jos nėra skirtos gelbėti to, ko gamintojas neperdirbo konstrukcijoje. Kitaip kalbame ne apie liekamąją riziką. Kalbame apie riziką, paliktą naudotojui.

Trys situacijos, kai liekamoji rizika tampa patogiu alibi

1. „Nekišti rankų“ prie judančio elemento

Pažiūrėkime į paprastą situaciją.

Mašina turi judantį elementą. Operatorius gali pasiekti jo zoną šalindamas užstrigimą, valydamas, rankiniu būdu paduodamas detalę arba derindamas. Rizikos vertinime atsiranda sugriebimo pavojus. Apsaugos priemonių stulpelyje parašoma: „įspėjimas instrukcijoje“. Instrukcijoje — sakinys: „nekišti rankų į mašinos darbo zoną“.

Pažįstama?

Iš pirmo žvilgsnio dokumentas užpildytas. Pavojus yra. Rizika yra. Įspėjimas yra. Tik mašinos sauga nėra žaidimas, kuriame kiekvienas tuščias langelis turi gauti bet kokį tekstą.

Klausimas kitoks: kas įvyko prieš tą įspėjimą?

Ar kas nors bandė pašalinti sugriebimo tašką pakeisdamas geometriją? Ar sumažinta judesio jėga, greitis arba energija? Ar derinimo veiksmą buvo galima perkelti už pavojingos zonos ribų? Ar numatytas mažesnės rizikos derinimo režimas? Ar parinkti apsaugai, blokavimo įtaisai, užrakinimas, valdymas laikant nuspaudus arba leidimo įtaisas? Ar patikrinta, kaip operatorius realiai šalins užstrigimą, o ne kaip jis turėtų tai daryti idealioje instrukcijoje?

Jeigu atsakymas yra „ne, bet parašėme, kad nekištų rankų“, tai dar nekalbame apie liekamąją riziką. Kalbame apie riziką, kuri taip pavadinta, nes taip buvo patogiausia.

Čia grįžtame prie ISO 12100 2 paveikslo logikos. Ji labai nepatogi trumpiniams. Ji atskiria projektuotojo indėlį nuo naudotojo indėlio. Projektuotojas turi konstrukciją, technines apsaugos priemones, papildomas priemones ir informaciją. Naudotojas turi darbo organizavimą, priežiūrą, procedūras, leidimus, mokymą ir praktinį priemonių palaikymą.

Vadinasi, bendra nereiškia neapibrėžta. Bendra nereiškia: „gamintojas parašys įspėjimą, o naudotojas kažkaip susitvarkys“. Bendra reiškia: gamintojas parodo, ką padarė savo pusėje, ko nepavyko pašalinti ir kokią informaciją perduoda naudotojui. Naudotojas pagal tą informaciją organizuoja darbą.

2. Aptarnavimo aikštelė, kurios reikia ne popieriui, o žmogui

Antras pavyzdys dar įdomesnis, nes iš pradžių ne visada atrodo kaip mašinos rizikos vertinimo klausimas.

Įsivaizduokime mašiną, kurioje filtrą reikia keisti kas savaitę. Jutiklį reikia valyti keičiant formatą. Tepimo taškas yra du metrai virš grindų. Vieną elementą reikia periodiškai išimti iš mašinos vidaus. Gamintojas instrukcijoje parašo: „darbus atlikti laikantis darbuotojų saugos reikalavimų, naudoti tinkamas prieigos priemones“.

Gerai. Bet kokias prieigos priemones?

Kopėčias iš cecho? Pristatomą platformą iš techninės priežiūros? Lipimą ant mašinos rėmo? Stovėjimą ant profilio, nes „mes visada taip darome“? O gal operatorius viena ranka turi laikytis už apsaugo, kita atsukinėti detalę, o trečia — kurios neturi — saugoti įrankį?

Čia teorija susitinka su cechu.

Jeigu gamintojas numato reguliarią aptarnavimo, konservavimo, valymo ar reguliavimo operaciją, jis privalo paklausti: kaip žmogus ten saugiai pateks, kur atsistos ir kaip atliks darbą be improvizacijos?

Ne kiekvienas darbas aukštyje prie mašinos automatiškai reiškia, kad gamintojas turi statyti sudėtingą platformų sistemą. Bet negalima eiti ir į kitą kraštutinumą: apsimesti, kad dažnos priežiūros vietos pasiekiamumas yra vien naudotojo problema.

ISO 12100 nurodo aiškią logiką: rutiniai aptarnavimo, derinimo ir techninės priežiūros veiksmai, kiek įmanoma, turi būti atliekami nuo grindų lygio. Kai tai neįmanoma, reikia numatyti saugią prieigą: aptarnavimo aikšteles, laiptus, perėjimus, turėklus arba kitus sprendimus. Čia atsiranda ISO 14122 serija dėl stacionarių prieigos prie mašinų priemonių.

Ir tada pasidaro tikrai įdomu.

Jeigu egzistuoja techninė priemonė, leidžianti saugiai atlikti dažną keitimą, reguliavimą ar priežiūrą, kodėl iš karto manome, kad naudotojas tai turi išspręsti organizaciškai? Kodėl stacionari aptarnavimo aikštelė nebuvo numatyta projekte? Kodėl instrukcija reikalauja savaitinio veiksmo sunkiai pasiekiamoje vietoje, bet projektas žmogui nesuteikia saugios darbo vietos?

Tai ne akademiniai klausimai. Tai klausimai iš mašinos priėmimo, audito ir gamybos salės. Jeigu naudotojas veiksmą turi atlikti reguliariai, prieiga prie tos vietos nėra priedas. Ji yra mašinos saugos dalis arba bent jau aiškus įrengimo reikalavimas, kurį gamintojas privalo nurodyti. Kitaip vėl atsiranda patogus trumpinys: „liekamoji rizika — naudotojas turi naudoti tinkamas prieigos priemones“. Dažnai toks sakinys aprašo ne liekamąją riziką, o nepriimtą projektinį sprendimą.

3. Nuotolinė prieiga ir kibernetinis saugumas nėra vien IT reikalas

Trečias pavyzdys atrodo modernesnis, bet mechanizmas tas pats.

Mašina turi nuotolinę prieigą. Ji turi valdiklį, HMI, pramoninį kompiuterį, serviso paskyras, atnaujinimo galimybę, duomenų perdavimą, kartais ryšį su aukštesnio lygio sistema. Gamintojas sako: „naudotojas turi apsaugoti tinklą“. IT skyrius temą gauna po priėmimo. Techninė priežiūra nori, kad servisas galėtų greitai prisijungti. Gamyba nori, kad mašina dirbtų. Visi turi savo argumentų.

Bet užduokime paprastą klausimą: ar šio sluoksnio pažeidimas gali paveikti mašinos saugą?

Jeigu nuotolinė prieiga leidžia keisti parametrus, darbo režimus, valdymo logiką, HMI konfigūraciją ar duomenis, svarbius saugos funkcijoms, tai nėra vien įmonės tinklo užkardos klausimas. Jeigu mašina naudotojui perduodama su numatytaisiais slaptažodžiais, neaprašytomis paskyromis, atvira nuotoline prieiga arba neaiškia atnaujinimo procedūra, sunku teigti, kad visa kibernetinio saugumo rizika yra naudotojo pusėje.

Naudotojas, žinoma, turi pareigų. Jis turi valdyti tinklą, paskyras, prieigas, atsargines kopijas, atnaujinimus, segmentavimą ir pakeitimų procedūras. Bet gamintojas negali tiekti mašinos būsenoje „kažkaip apsisaugosite“ ir pavadinti to liekamąja rizika.

Ypač po Mašinų reglamento (ES) 2023/1230, kuris kibernetinį saugumą aiškiai priartina prie mašinų saugos, kai įrangos, programinės įrangos ar duomenų pažeidimas gali sukelti pavojingą situaciją.

Čia galioja ta pati tvarka: pirma projektas, tada techninės priemonės, ir tik po to informacija naudotojui. Ne atvirkščiai.

Todėl visose trijose situacijose — prie sugriebimo, prie aptarnavimo aikštelių ir prie kibernetinio saugumo — reikia grįžti prie vieno klausimo: ar gamintojas iš tikrųjų sumažino riziką, ar tik aprašė ją naudotojui?

Klausimas nepatogus. Bet būtinas. Nes liekamoji rizika nėra skirta gražiai uždaryti lentelę. Ji turi parodyti, kas realiai lieka mašinos pusėje, darbo organizavimo pusėje ir jų sandūroje.

Jeigu gamintojas atliko savo dalį, naudotojas privalo informaciją vertinti rimtai. Jis turi mokyti žmones, prižiūrėti apsaugas, organizuoti darbą ir neleisti apeiti apsaugos priemonių. Bet jeigu gamintojas savo darbo nepadarė, instrukcija nepataiso projekto.

Kada liekamoji rizika iš tikrųjų yra liekamoji?

Po šių pavyzdžių matosi vienas dalykas: ne kiekviena prie mašinos likusi rizika iš karto nusipelno liekamosios rizikos vardo.

Ką reiškia „liko“?

Liko po konstrukcijos pakeitimo?

Liko po apsaugo, blokavimo įtaiso, užrakinimo arba derinimo režimo?

Liko po tepimo taško perkėlimo už pavojingos zonos?

Liko po stacionarios prieigos prie priežiūros vietos suprojektavimo?

Ar liko todėl, kad niekas nenorėjo šios temos judinti ir lengviausia buvo prirašyti įspėjimą?

Tai dvi visiškai skirtingos situacijos.

ISO 12100 šį klausimą išskiria labai tiksliai. Yra liekamoji rizika po projektuotojo taikytų priemonių ir yra rizika po visų priemonių, įskaitant naudotojo priemones. Tarp jų yra zona, kurioje gamintojo informacija turi būti realiai panaudota naudotojo darbo organizavime.

Todėl liekamosios rizikos negalima traktuoti kaip laisvos rubrikos. Tai ne vieta sakiniui „naudotojas elgsis atsargiai“. Tai vieta konkrečiai išvadai po atlikto projektavimo darbo.

KlausimasJeigu atsakymas „taip“Jeigu atsakymas „ne“
Ar pavojus aprašytas konkrečiai: kur, kada, kas patiria poveikį ir atliekant kokį veiksmą?Galima toliau vertinti, ar kalbame apie liekamąją riziką.Tai dar ne rizikos vertinimas, o tik bendras pavojaus paminėjimas.
Ar gamintojas patikrino, ar pavojų galima pašalinti konstrukciškai?Einama pagal ISO 12100 logiką.Įspėjimas instrukcijoje atsirado per anksti.
Ar svarstytos techninės apsaugos priemonės: apsaugai, blokavimo įtaisai, užrakinimas, darbo režimai, valdymas laikant nuspaudus, energijos, greičio ar jėgos ribojimas?Galima pagrįsti, kodėl dalis rizikos vis dar lieka.Rizika greičiausiai ne liekamoji, o nepakankamai išspręsta.
Ar gamintojas pagrindė, kodėl konkreti priemonė netaikyta?Dokumentacija rodo inžinerinį sprendimą.Turime spragą. Spraga netampa liekamąja rizika vien todėl, kad kažkas ją taip pavadino.
Ar informacija naudotojui yra konkreti?Naudotojas žino, ką daryti: kada, kaip, kuo ir kokiomis sąlygomis.„Elgtis atsargiai“ arba „nekišti rankų“ nepakanka.
Ar naudotojas turi realią įtaką tai priemonei?Tai gali būti naudotojo sritis: mokymas, LOTO, priežiūra, procedūra, techninė priežiūra, darbo organizavimas.Negalima apsimesti, kad naudotojas perima tai, ko jis negali veiksmingai valdyti.
Ar naudotojo pusės priemonę galima išlaikyti praktikoje?Galima kalbėti apie bendrą atsakomybę.Jeigu priemonė reikalauja nuolat „gaudyti žmones“, nors buvo įmanoma techninė priemonė, problema grįžta gamintojui.
Ar po apsaugos priemonės taikymo patikrinta, ar neatsirado nauja rizika?Rizikos vertinimo ciklas uždaromas.Procesas nebaigtas. ISO/TR 14121-2 primena: po priemonių įdiegimo reikia patikrinti, ar rizika tikrai sumažėjo ir ar neatsirado naujų pavojų.

Ši lentelė nėra formalus algoritmas. Tai sveiko proto filtras. Jeigu jį perėjus lieka tik sakinys „operatorius turi saugotis“, vadinasi, esame per anksti. Dar nepasiekėme liekamosios rizikos.

Verta iš karto atskirti ir atsakomybę.

SritisKą turi padaryti gamintojasKą realiai perima naudotojas
Sugriebimas, prispaudimas, kontaktas su judesiuProjektas, geometrija, energijos ribojimas, apsaugai, blokavimo įtaisai, darbo režimai, saugos funkcijos, aiškus nepašalintos rizikos aprašymas.Mokymas, priežiūra, apsaugų ir blokavimo įtaisų palaikymas, užstrigimų šalinimo procedūros, draudimas apeiti apsaugos priemones.
Valymas, derinimas, techninė priežiūraŠių veiksmų įtraukimas į rizikos vertinimą, prieigos prie pavojingų zonų ribojimas, serviso režimai, derinimo taškai už pavojingos zonos, saugi prieiga.Darbų organizavimas, personalo kvalifikacija, LOTO, priežiūros planas, apsaugos priemonių būklės tikrinimas.
Aukštis, aptarnavimo aikštelės, perėjimaiĮvertinimas, ar veiksmas dažnas ir numatomas; stacionarios prieigos priemonės projektavimas arba aiškūs jai keliami reikalavimai.Prieigų priežiūra, tvarka, tinkamo personalo leidimas dirbti, gamintojo nurodytų procedūrų ir priemonių taikymas.
Kibernetinis saugumas ir nuotolinė prieigaSaugi architektūra, prieigos ribojimas, paskyrų kontrolė, sąsajų aprašymas, atnaujinimų taisyklės, saugai svarbių duomenų ir programinės įrangos apsauga.Tinklo segmentavimas, paskyrų valdymas, pakeitimų procedūros, atsarginės kopijos, serviso prieigos priežiūra.
Informacija instrukcijojeKonkretūs įspėjimai, rizikos aprašymas, saugaus naudojimo sąlygos, būtinos naudotojo priemonės, naudojimo draudimai ir ribojimai.Informacijos įgyvendinimas praktikoje: mokymai, darbo vietos instrukcijos, priežiūra, taisyklių vykdymas.

Čia ir yra esmė.

Liekamoji rizika gali būti bendra. Bet bendra nereiškia neaiški.

Bendra nereiškia: „gamintojas parašė, naudotojas atsako“.

Bendra nereiškia: „darbuotojų saugos specialistas parengs procedūrą, vadinasi, projektas tvarkingas“.

Bendra reiškia daug reiklesnį dalyką: gamintojas turi parodyti, ką padarė mašinos pusėje, o naudotojas turi perimti tai, kas iš tikrųjų priklauso nuo darbo organizavimo, priežiūros, techninės priežiūros ir eksploatavimo sąlygų.

Todėl geroje rizikos vertinimo byloje pozicija „liekamoji rizika“ neturi būti paskutinė gelbėjimosi lenta. Ji turi būti sąžiningo mąstymo pabaiga: čia buvo pavojus, tiek padarėme projekte, tiek padarėme techniškai, šito pagrįstai nebegalime pašalinti nesukurdami didesnės problemos, todėl naudotojui perduodame tokią informaciją ir tokius reikalavimus.

Tik tada liekamoji rizika skamba kaip rizikos vertinimo išvada. O ne kaip priedanga sprendimams, kurių pritrūko.

Lentelė sutvarko temą, bet neatlieka tikro darbo

Atsakomybės padalijimas atrodo gerai tik tada, kai nusileidžia nuo bendrų frazių iki realaus veiksmo prie mašinos. Lengva parašyti: „naudotojas užtikrina darbo organizavimą“, „naudotojas naudoja tinkamas prieigos priemones“, „naudotojas apsaugo tinklą“. Sunkiau patikrinti, ar naudotojas gavo mašiną, kurią galima saugiai aptarnauti, valyti, derinti ir prižiūrėti.

Paimkime aptarnavimo aikštelę.

Brėžinyje viskas atrodo gerai. Plieninė konstrukcija, grotelės, turėklai, įėjimas. Prieiga numatyta? Numatyta. Tema uždaryta? Nebūtinai.

Pirmiausia reikia klausti: kokiam darbui ta aptarnavimo aikštelė skirta?

Jeigu darbuotojas kartą per metus užlips perskaityti indikatoriaus ar patikrinti lentelės, turime vieną situaciją. Jeigu nuo tos pačios aikštelės reguliariai reikia keisti variklį, reduktorių, cilindrą, ritinėlį, galvutę, filtrą ar kitą eksploatacinį elementą, tai jau ne vien „prieiga“. Tai serviso darbo vieta.

Tada bendro sakinio instrukcijoje nepakanka.

Kas ten lips? Vienas darbuotojas ar du techninės priežiūros žmonės?

Ką jie nešis? Įrankių dėžę, dinamometrinį raktą, stropus, atsarginę dalį?

Ką jie išmontuos? 20 kg dangtį, 80 kg motoreduktorių, 150 kg reduktorių, o gal 500 kg variklį?

Kur padės atsuktą elementą? Ant aikštelės? Ant vežimėlio? Ant pakabinimo?

Ar numatyti transportavimo varteliai, pakabinimo taškas, kėlimo įtaisas, elemento išėmimo kelias ir darbo vieta dviem žmonėms?

Ar aikštelės laikomoji galia apima tik žmogų, ar ir įrankius, dalis, vietines apkrovas ir jėgas, kurios atsiranda demontuojant?

Tai klausimai iš salės, ne iš mokymo prezentacijos.

Jeigu instrukcija sako, kad 500 kg variklis keičiamas nuo aptarnavimo aikštelės, aikštelė turi atitikti tokį darbą. Ne „operatoriaus su raktu“ darbą, o realią užduotį: du žmonės, įrankiai, išmontuojamas mazgas, manevravimas, apsauga nuo kritimo, dalies transportavimas ir saugus nuleidimas ant grindų.

Kitu atveju turime sprendimo imitaciją. Aikštelė yra, bet užduoties neišsprendžia. Prieiga yra, bet saugios techninės priežiūros neužtikrina. Instrukcija aprašo veiksmą, bet projektas neduoda sąlygų jam atlikti.

Ir dabar svarbiausias klausimas: ar tai liekamoji rizika?

Jeigu gamintojas numatė reguliarią serviso operaciją, bet nenumatė saugaus jos atlikimo būdo, sunku kalbėti apie sąžiningai aprašytą liekamąją riziką. Tai veikiau nebaigta mašinos aptarnavimo koncepcija. Naudotojas atsako už darbo organizavimą, žmonių kvalifikaciją, LOTO, priežiūrą ir aikštelės būklės palaikymą. Bet jis neturi po priėmimo atrasti, kad sunkiam mazgui pakeisti reikės improvizacijos.

Labai panašiai atrodo kibernetinio saugumo tema.

Mašina atvažiuoja su serviso paskyra. Prisijungimas: admin. Slaptažodis: admin. Nuotolinė prieiga veikia, nes „servisas turi kažkaip prisijungti“. Dokumentacija sako, kad naudotojas turi apsaugoti tinklą. IT skyrius gauna temą po paleidimo. Techninė priežiūra nenori blokuoti prieigos, nes mašina turi gaminti. Servisas nori greitai reaguoti. Visi turi argumentų.

Bet klausimas paprastas: ar gamintojas perdavė mašiną saugia numatytąja konfigūracija?

Nekalbame apie tai, kad gamintojas atsakytų už visą naudotojo gamyklos tinklą. Tai būtų atitrūkimas nuo realybės. Naudotojas turi valdyti prieigas, segmentavimą, atsargines kopijas, pakeitimų procedūras, paskyras, atnaujinimus ir serviso prisijungimų priežiūrą.

Bet gamintojas negali perduoti mašinos su akivaizdoma silpnybe ir pasakyti: „čia jau jūsų IT“. Jeigu nuotolinė prieiga, paskyros, programinė įranga, HMI konfigūracija arba duomenys gali paveikti mašinos elgseną, tas sluoksnis priklauso saugos vertinimui. Taip pat kaip apsaugas, blokavimo įtaisas ar serviso režimas.

Slaptažodis admin/admin nėra smulkmena. Tai skaitmeninis atitikmuo aptarnavimo aikštelės, kuri lyg ir yra, bet neturi laikomosios galios realiam darbui. Dokumentacijoje kažkas parašyta. Realybėje naudotojas gauna problemą, kurią turi taisyti.

Todėl gera informacija naudotojui neskamba taip: „apsaugoti tinklą“. Gera informacija pasako, kokios paskyros yra sukurtos, kokie prieigos vaidmenys numatyti, ką būtina pakeisti per pirmą paleidimą, kaip veikia nuotolinis servisas, kas gali atnaujinti programinę įrangą, kurie konfigūracijos elementai svarbūs saugai, kaip atkurti nustatymus ir kokias tinklo sąlygas gamintojas priėmė kaip saugaus darbo prielaidas.

Tik tada galima sąžiningai kalbėti apie naudotojo atsakomybę. Tada naudotojas žino, ką perima. Tada liekamoji rizika iš tiesų yra mašinos ir darbo organizavimo sandūroje.

Be to turime tik problemos permetimą.

Būtent todėl sąvokos „liekamoji rizika“ negalima vartoti lengvai. Ji neturi uždaryti nepatogių klausimų. Ji turi parodyti, kas liko gamintojo pusėje, kas pereina naudotojui ir kokias sąlygas abi pusės turi užtikrinti, kad mašina išliktų saugi normalios eksploatacijos metu.

Nes mašina nesibaigia CE atitikties deklaracija.

Ji dirba toliau: perderinant, valant, prižiūrint, šalinant gedimus, atnaujinant programinę įrangą, jungiant nuotolinį servisą ir keičiant sunkius mazgus.

Jeigu projektas šių situacijų nenumato, instrukcija jų nepataisys.

Dažniausiai užduodami klausimai

Kas yra mašinos likutinė rizika?

Liekamoji rizika – tai rizika, kuri lieka mašinos projektuotojui pritaikius rizikos mažinimo priemones. Pagal ISO 12100 požiūrį pirmiausia reikia siekti savaime saugios konstrukcijos, tada parinkti technines ir papildomas apsaugos priemones, ir tik po to naudotojui pateikti informaciją apie likusius pavojus.

Todėl tai nėra „talpykla“ projektavimo metu neišspręstoms problemoms. Kad būtų galima kalbėti apie liekamąją riziką, reikia pagrįsti, kokie rizikos mažinimo veiksmai prieš tai buvo apsvarstyti ir pritaikyti.

Ar užrašas „nekišti rankų“ yra pakankama apsaugos priemonė?

Paprastai ne. Vien įspėjimas instrukcijoje nepakeičia apsaugo, blokavimo, užrakinimo, energijos ribojimo, geometrijos pakeitimo ar saugaus nustatymo režimo, jeigu tokios priemonės yra įmanomos ir adekvačios pavojui.

Informacija naudotojui turi prasmę tik tada, kai projektuotojas įrodė, kad rizika prieš tai buvo sumažinta pagal ISO 12100 priemonių hierarchiją, tačiau vis tiek išlieka liekamoji rizika, kurią reikia aprašyti.

Kas atsako už likutinę riziką: gamintojas ar naudotojas?

Atsakomybė yra paskirstyta, bet ne savavališka. Gamintojas atsako už rizikos vertinimą, rizikos mažinimą projektavimo etape ir patikimą informavimą apie liekamąją riziką, kurios nepavyko pašalinti arba pakankamai sumažinti projektavimo priemonėmis.

Naudotojas atsako už saugų darbo organizavimą, mokymą, priežiūrą, procedūras, asmenines apsaugos priemones ir instrukcijų taikymą. Tačiau tai nereiškia, kad gamintojas gali perkelti naudotojui pavojų, kuris turėtų būti suvaldytas konstrukcinėmis arba techninėmis priemonėmis.

Kaip atpažinti, kad rizika per anksti įvardyta kaip likutinė?

Įspėjamasis signalas yra situacija, kai rizikos vertinime atsiranda pasiekiama įtraukimo, sutraiškymo arba pjovimo vieta, o vienintelė priemonė yra įspėjimas „nekišti rankų“. Tai dar neįrodo, kad yra faktinė liekamoji rizika.

Dokumentacijoje turėtų būti matyti, ar buvo apsvarstytas konstrukcijos pakeitimas, energijos arba greičio apribojimas, veiksmų perkėlimas už pavojingos zonos ribų, apsaugai, blokavimo įtaisai, užraktai, saugos funkcijos ir darbo režimai su sumažinta rizika.

Kaip dokumentuoti liekamąją riziką atliekant mašinos rizikos vertinimą?

Gerai dokumentuota likutinė rizika neturėtų būti vien tik atskiras įrašas lentelėje. Ji turėtų parodyti, kaip prie jos prieita: pavojus, žmogaus atliekama užduotis, mašinos gyvavimo ciklo etapas, pavojui veikiami asmenys, rizikos įvertinimas prieš mažinimą ir taikytos apsaugos priemonės.

  • aprašyti, kokie konstrukciniai ir techniniai sprendimai buvo svarstyti,
  • nurodyti, kurios priemonės buvo taikytos ir kaip jos mažina poveikį,
  • nustatyti, kas vis dar lieka po rizikos sumažinimo,
  • perkelti konkrečią informaciją į instrukcijas, ženklinimą ir naudojimo procedūras.

Nepalikite liekamosios rizikos be aiškaus pagrindimo

Vertinkite riziką taip, kad kiekvienas įspėjimas būtų susietas su ankstesniais projektavimo sprendimais ir parinktomis apsaugos priemonėmis. Taip aiškiai parodysite, kas liko sumažinus riziką.

Pradėti darbą Galite pradėti nuo vienos mašinos.