Ir zona, kur operators var aizsniegties ar roku.
Ir kustīga daļa, kas var satvert plaukstu.
Ir darbība, ko cilvēks tiešām darīs: aizsprostojuma novēršana, tīrīšana, iestatīšana, pārbaude pēc apstādināšanas.
Un tad riska novērtējuma tabulā parādās ieraksts: atlikušais risks — informācija instrukcijā — nelikt rokas.
Uz papīra viss izskatās kārtīgi. Apdraudējums aprakstīts. Risks nosaukts. Instrukcija papildināta. Tikai mašīnu drošumā šāds ieraksts ļoti bieži tēmu nevis sakārto, bet aizsedz.
Jo atlikušais risks nav vieta, kur iemest visu, kas projektā nav atrisināts. Tas nav arī veids, kā atbildību no ražotāja pārbīdīt uz lietotāju. Tas ir risks, kas paliek pēc projektēšanas darba: pēc pārbaudes, vai apdraudējumu var novērst ar konstrukciju, pēc tehnisko aizsardzības pasākumu izvēles un pēc vērtējuma, vai risinājumi tiešām samazina cilvēka pakļaušanu riskam.
Tikai tad var godīgi pateikt: šeit kaut kas vēl paliek, un lietotājam tas ir jāzina.
Praksē robeža bieži tiek izsmērēta. Ražotājs saka: „Mēs to aprakstījām instrukcijā.” Integrators saka: „Lietotājam jāapmāca cilvēki.” Lietotājs dzird: „Tā jau ir jūsu darba organizācija.” Bet ISO 12100 un Mašīnu regula (ES) 2023/1230 atbildību saliek konkrētā secībā: vispirms projekts, pēc tam aizsardzības pasākumi, un tikai beigās informācija.
Tas pats šodien atgriežas arī pie tīklam pieslēgtām mašīnām. Attālinātā piekļuve, servisa konti, kontrollera konfigurācija, atjauninājumi un dati nav tikai lietotāja IT nodaļas lieta, ja tie var ietekmēt mašīnas drošumu. Ar frāzi „lietotājam jāaizsargā tīkls” nepietiek. Ražotājam jānodod mašīna, kas šādus riskus ņem vērā jau no sākuma.
Tāpēc jautājums nav: vai instrukcijā parādījās brīdinājums. Jautājums ir: ko ražotājs patiesībā izdarīja, pirms šo brīdinājumu tur ierakstīja?
Atlikušais risks nav brīvs lauks tabulā
ISO 12100 ir vērts apstāties pie viena attēla. Ne tikai pie definīcijas un ne tikai pie trīs soļu metodes, bet pie shēmas, kas rāda riska samazināšanu no projektētāja skatpunkta. 2. attēls labi sakārto atbildību: vispirms ir ar mašīnu saistītais risks, tad projektētāja ieguldījums, pēc tam atlikušais risks pēc projektētāja piemērotajiem aizsardzības pasākumiem, tālāk lietotāja ieguldījums un tikai beigās atlikušais risks pēc visu aizsardzības pasākumu piemērošanas.
Tas nav dekoratīvs slaids apmācībām. Tā ir ļoti konkrēta robeža, kuru nedrīkst izdzēst.
Projektētāja pusē ir pašas konstrukcijas drošums, tehniskie aizsardzības pasākumi, papildinošie aizsardzības pasākumi un informācija par lietošanu. Lietotāja pusē parādās darba organizācija, procedūras, uzraudzība, atļauju sistēmas, papildu tehniskie pasākumi, individuālie aizsardzības līdzekļi un apmācība.
Tas nozīmē vienu: atlikušais risks tiešām atrodas uz ražotāja un lietotāja robežas. Bet ne tādā nozīmē, ka katrs tur var ierakstīt sev ērtāko. Ražotājs nevar uz šo zonu pārbīdīt apdraudējumu, kuru nav gribējis atrisināt konstrukcijā. Lietotājs savukārt nevar izlikties, ka instrukcijai un apmācībai nav nozīmes, ja ražotājs korekti aprakstījis riskus, kurus projektā vairs nebija iespējams novērst.
Tieši tāpēc frāze „atlikušais risks” mēdz būt bīstama. Tā skan tehniski. Tātad ar to ir viegli piesegt neizdarītu projektēšanas lēmumu. Kāds redz satveršanas punktu. Kāds zina, ka operators novērsīs iesprūšanu. Kāds zina, ka tīrīšanas laikā roka nonāks kustīgas daļas tuvumā. Un tomēr tabulā parādās: „atlikušais risks — nelikt rokas”.
Šāds ieraksts vēl nepierāda, ka mums ir atlikušais risks. Tas pierāda tikai to, ka kāds problēmu ir tā nosaucis.
Lai šo jēdzienu lietotu godīgi, jāparāda ceļš līdz tam. Kas izdarīts konstrukcijā? Vai varēja mainīt ģeometriju, attālumu, enerģiju, ātrumu, piekļuvi vai iestatīšanas veidu? Kādi aizsargi, bloķēšana, fiksējoša bloķēšana, darba režīmi vai drošības funkcijas tika izvērtētas? Kāpēc daļa riska tiešām jāapraksta lietotājam?
Tikai šāda atbilde pārvieto sarunu no līmeņa „mēs to ierakstījām instrukcijā” uz ISO 12100 loģikai atbilstošu riska novērtēšanu. Standarts skaidri pasaka: projektēšanas posmā piemērotie pasākumi ir dodami priekšroka pār lietotāja puses pasākumiem, jo tie parasti strādā efektīvāk. To pašu pastiprina ISO/TR 14121-2: informācijai lietotājam jāpalīdz pareizi un droši lietot mašīnu un jābrīdina par riskiem, kas palikuši pēc samazināšanas ar konstrukciju un aizsargpasākumiem.
Procedūrām, apmācībai un LOTO ir sava vieta. Bet tās nav paredzētas, lai glābtu to, ko ražotājs nav izstrādājis konstrukcijā. Citādi mēs nerunājam par atlikušo risku. Mēs runājam par risku, kas atstāts lietotājam.
Trīs situācijas, kur atlikušais risks kļūst par ērtu alibi
1. „Nelikt rokas” nav aizsardzības pasākums
Paskatāmies uz vienkāršu situāciju.
Mašīnai ir kustīga daļa. Operators var aizsniegties tās tuvumā, kad novērš aizsprostojumu, tīra, manuāli padod detaļu vai iestata iekārtu. Riska novērtējumā parādās satveršanas apdraudējums. Aizsardzības pasākumu kolonnā parādās informācija: „brīdinājums instrukcijā”. Un instrukcijā teikums: „nelikt rokas mašīnas darba zonā”.
Pazīstami?
Pirmajā skatienā dokuments izskatās aizpildīts. Apdraudējums ir. Risks ir. Brīdinājums ir. Tikai mašīnas drošums nenozīmē, ka katrs tukšais lauks tabulā ir dabūjis kādu tekstu. Jautājums ir cits: kas notika pirms šī brīdinājuma?
Vai kāds mēģināja novērst satveršanas punktu ar ģeometrijas maiņu? Vai tika ierobežots spēks, ātrums vai kustības enerģija? Vai iestatīšanas darbību varēja pārcelt ārpus bīstamās zonas? Vai paredzēts iestatīšanas režīms ar samazinātu risku? Vai izvēlēts aizsargs, bloķēšana, fiksējoša bloķēšana, vadība ar noturētu iedarbināšanu vai iespējošanas ierīce? Vai pārbaudīts, kā operators patiesībā novērsīs iesprūšanu, nevis kā viņam teorētiski būtu jārīkojas ideālā instrukcijā?
Ja atbilde ir: „Nē, bet mēs uzrakstījām, lai rokas neliek,” tad mēs vēl nerunājam par atlikušo risku. Mēs runājam par risku, kas nosaukts ērtā vārdā, jo tā bija visvieglāk.
Un te atkal atgriežas ISO 12100 2. attēls. Tas šādus saīsinājumus necieš. Tajā atsevišķi redzams projektētāja ieguldījums un atsevišķi lietotāja ieguldījums. Kopīgs nenozīmē neskaidrs. Kopīgs nenozīmē: „ražotājs ierakstīs brīdinājumu, bet lietotājs kaut kā tiks galā”. Kopīgs nozīmē: ražotājs parāda, ko izdarījis savā pusē, ko nav iespējams novērst un kādu informāciju nodod lietotājam; lietotājs organizē darbu saskaņā ar šo informāciju.
2. Piekļuve apkopei: kā cilvēks tur nokļūs?
Otrais piemērs bieži pirmajā brīdī nemaz neizskatās pēc mašīnas riska novērtēšanas tēmas.
Iedomājamies mašīnu, kurā filtrs jāmaina katru nedēļu. Sensors jātīra pie katras formāta maiņas. Eļļošanas punkts atrodas divus metrus virs grīdas. Kāds elements periodiski jāizņem no mašīnas iekšpuses. Ražotājs instrukcijā ieraksta: „darbus veikt, ievērojot darba aizsardzības prasības, lietot piemērotus piekļuves līdzekļus”.
Labi. Bet kādus piekļuves līdzekļus?
Ceha kāpnes? Uzturēšanas dienesta atvests podests? Kāpšana uz mašīnas rāmja? Stāvēšana uz profila, jo „mēs tā vienmēr darām”? Vai operators ar vienu roku turas pie aizsarga, ar otru atskrūvē detaļu, bet ar trešo — kuras viņam nav — pieskata instrumentu?
Te teorija satiekas ar ceha grīdu. Ja ražotājs paredz regulāru apkalpošanas, apkopes, tīrīšanas vai regulēšanas darbību, viņam jāuzdod vienkāršs jautājums: kā cilvēks tur droši nokļūs, kur viņš stāvēs un kā izpildīs darbu bez improvizācijas?
Ne katrs darbs augstumā pie mašīnas nozīmē, ka ražotājam obligāti jābūvē liela platforma. Bet nevar iet arī pretējā virzienā un izlikties, ka piekļuve biežas apkopes vietai ir tikai lietotāja problēma. ISO 12100 norāda, ka rutīnas apkalpošanas, iestatīšanas un apkopes darbības, ja iespējams, jāveic no grīdas līmeņa. Ja tas nav iespējams, jāparedz droša piekļuve: podesti, kāpnes, pārejas, margas vai citi risinājumi. Te parādās ISO 14122 sērija par stacionāriem piekļuves līdzekļiem mašīnām.
Un tad kļūst interesanti.
Ja ir tehnisks līdzeklis, kas ļauj droši veikt biežas nomaiņas, regulēšanu vai apkopi, kāpēc mēs uzreiz pieņemam, ka lietotājam tas jāatrisina organizatoriski? Kāpēc stacionārs podests nav paredzēts projektā? Kāpēc instrukcija prasa iknedēļas darbību grūti pieejamā vietā, bet projekts cilvēkam nedod drošu darba vietu?
Tie nav akadēmiski jautājumi. Tie ir jautājumi no mašīnas pieņemšanas, audita un ražošanas zāles. Ja lietotājam regulāri jāveic konkrēta darbība, piekļuve tai nav aksesuārs. Tā ir mašīnas drošuma daļa vai vismaz instalācijas prasība, ko ražotājam skaidri jānosaka. Pretējā gadījumā atkal parādās ērtais saīsinājums: „atlikušais risks — lietotājam jālieto piemēroti piekļuves līdzekļi”. Bieži šāds teikums neapraksta atlikušo risku. Tas apraksta neizdarītu projektēšanas lēmumu.
3. Kiberdrošība un attālinātā piekļuve nav tikai IT jautājums
Trešais piemērs izskatās modernāk, bet mehānisms ir tas pats.
Mašīnai ir attālinātā piekļuve. Tai ir kontrolleris, HMI, rūpnieciskais dators, servisa konti, atjaunināšanas iespēja, datu pārsūtīšana, reizēm savienojums ar augstāka līmeņa sistēmu. Ražotājs saka: „lietotājam jāaizsargā tīkls”. IT nodaļa tēmu saņem pēc pieņemšanas. Uzturēšana grib, lai serviss var ātri pieslēgties. Ražošana grib, lai mašīna strādā. Katram ir savi argumenti.
Bet jautājums ir vienkāršs: vai šī slāņa pārkāpums var ietekmēt mašīnas drošumu?
Ja attālinātā piekļuve ļauj mainīt parametrus, darba režīmus, vadības loģiku, HMI konfigurāciju vai drošības funkcijām svarīgus datus, tas vairs nav tikai uzņēmuma ugunsmūra jautājums. Ja mašīna lietotājam tiek nodota ar noklusējuma parolēm, neaprakstītiem kontiem, atvērtu attālināto piekļuvi vai neskaidru atjaunināšanas procedūru, ir grūti teikt, ka viss kiberdrošības risks atrodas lietotāja pusē.
Lietotājam, protams, ir pienākumi. Viņam jāpārvalda tīkls, konti, piekļuves, rezerves kopijas, atjauninājumi, segmentācija un izmaiņu procedūras. Bet ražotājs nevar piegādāt mašīnu stāvoklī „gan jau kaut kā aizsargāsiet” un nosaukt to par atlikušo risku. Īpaši pēc Mašīnu regula (ES) 2023/1230, kas kiberdrošību skaidri pievelk tuvāk mašīnu drošumam, ja aparatūras, programmatūras vai datu pārkāpums var radīt bīstamu situāciju.
Arī šeit loģika ir tā pati: vispirms projekts, tad tehniskie pasākumi, un tikai pēc tam informācija lietotājam. Ne otrādi.
Tāpēc katrā no šiem trim piemēriem — satveršana, podesti un kiberdrošība — jāatgriežas pie viena jautājuma: vai ražotājs tiešām samazināja risku, vai tikai aprakstīja to lietotājam?
Tas ir neērts jautājums. Bet ļoti vajadzīgs. Jo atlikušais risks nav domāts, lai skaisti aizvērtu tabulu. Tas parāda, kas patiesībā paliek mašīnas pusē, darba organizācijas pusē un abu šo zonu saskarē. Ja ražotājs savu daļu ir izdarījis, lietotājam informācija jāuztver nopietni. Jāapmāca cilvēki, jāuztur aizsardzības pasākumi, jāorganizē darbs un nedrīkst apiet aizsargus. Bet, ja ražotājs šo darbu nav izdarījis, instrukcija projektu nesalabo.
Kad atlikušais risks patiešām ir atlikušais?
No piemēriem redzams viens: ne katrs risks, kas palicis pie mašīnas, automātiski ir pelnījis nosaukumu atlikušais risks.
Ko vispār nozīmē „palicis”?
Palicis pēc konstrukcijas maiņas?
Palicis pēc aizsarga, bloķēšanas, fiksējošas bloķēšanas vai iestatīšanas režīma?
Palicis pēc eļļošanas punkta pārcelšanas ārpus bīstamās zonas?
Palicis pēc stacionāras piekļuves izprojektēšanas apkopes vietai?
Vai palicis tāpēc, ka neviens negribēja tam pieskarties un visvieglāk bija pierakstīt brīdinājumu?
Tās ir divas pilnīgi atšķirīgas situācijas.
ISO 12100 šo tēmu sadala precīzi. Ir atlikušais risks pēc projektētāja piemērotajiem pasākumiem, un ir atlikušais risks pēc visu pasākumu piemērošanas, tātad arī pēc lietotāja puses pasākumiem. 2. attēlā šis dalījums ir ļoti skaidrs: vispirms projektētāja ieguldījums, pēc tam lietotāja ieguldījums, un starp tiem zona, kur ražotāja informācija lietotāja darba organizācijā jāizmanto reāli, nevis tikai jāieliek mapē.
Visvienkāršāk to var pārbaudīt šādi:
| Jautājums | Ja atbilde ir „jā” | Ja atbilde ir „nē” |
|---|---|---|
| Vai apdraudējums aprakstīts konkrēti: kur, kad, kurš ir pakļauts riskam un pie kādas darbības? | Var turpināt vērtēt, vai runa ir par atlikušo risku. | Tas vēl nav riska novērtējums, tikai vispārīgs apdraudējuma apraksts. |
| Vai ražotājs pārbaudīja, vai apdraudējumu var novērst konstrukcijā? | Virzāmies saskaņā ar ISO 12100 loģiku. | Brīdinājums instrukcijā parādās pārāk agri. |
| Vai izvērtēti tehniskie aizsardzības pasākumi: aizsargi, bloķēšana, fiksējoša bloķēšana, darba režīmi, vadība ar noturētu iedarbināšanu, enerģijas, ātruma vai spēka ierobežošana? | Var pamatot, kāpēc daļa riska joprojām paliek. | Risks, visticamāk, nav atlikušais, bet nepabeigts. |
| Vai ražotājs parādīja, kāpēc konkrēts pasākums nav piemērots? | Dokumentācija rāda inženiertehnisku lēmumu. | Ir plaisa. Plaisa nekļūst par atlikušo risku tikai tāpēc, ka kāds to tā nosauc. |
| Vai informācija lietotājam ir konkrēta? | Lietotājs zina, kas jādara: kad, kā, ar ko un kādos apstākļos. | „Ievērot piesardzību” vai „nelikt rokas” nepietiek. |
| Vai lietotājam ir reāla ietekme uz konkrēto pasākumu? | Tā var būt lietotāja puse: apmācība, LOTO, uzraudzība, procedūra, uzturēšana, darba organizācija. | Nedrīkst izlikties, ka lietotājs pārņem to, ko nevar efektīvi kontrolēt. |
| Vai lietotāja puses pasākumu iespējams uzturēt praksē? | Var runāt par kopīgu atbildību. | Ja tas prasa nepārtraukti „pieskatīt cilvēkus”, bet tehnisks risinājums bija iespējams, problēma atgriežas pie ražotāja. |
| Vai pēc aizsardzības pasākuma ieviešanas pārbaudīts, vai nav radies jauns risks? | Riska novērtēšanas cilpa ir noslēgta. | Process nav pabeigts. ISO/TR 14121-2 atgādina: pēc pasākumu ieviešanas vēlreiz jāpārbauda, vai risks tiešām samazinājies un nav parādījušies jauni apdraudējumi. |
Šī tabula nav formāls algoritms. Tā ir veselā saprāta filtrs. Ja pēc tā iziešanas paliek tikai teikums „operatoram jāuzmanās”, tad mēs esam par agru. Mēs vēl neesam nonākuši līdz atlikušajam riskam.
Uzreiz jāsadala arī atbildība:
| Joma | Kas jādara ražotājam | Ko reāli pārņem lietotājs |
|---|---|---|
| Satveršana, saspiešana, kontakts ar kustību | Projekts, ģeometrija, enerģijas ierobežošana, aizsargi, bloķēšana, darba režīmi, drošības funkcijas, skaidrs apraksts par risku, kuru nav izdevies novērst. | Apmācība, uzraudzība, aizsargu un bloķēšanas uzturēšana, iesprūšanas novēršanas procedūras, aizliegums apiet aizsardzības pasākumus. |
| Tīrīšana, iestatīšana, apkope | Šo darbību paredzēšana riska novērtējumā, piekļuves ierobežošana bīstamajām zonām, servisa režīmi, iestatīšanas punkti ārpus bīstamās zonas, droša piekļuve. | Darbu organizēšana, personāla kvalifikācija, LOTO, apkopes plāns, aizsardzības pasākumu stāvokļa pārbaude. |
| Piekļuve augstumā, podesti, pārejas | Novērtējums, vai darbība ir bieža un paredzama; stacionāra piekļuves līdzekļa projektēšana vai prasību noteikšana, ja tas vajadzīgs. | Piekļuves ceļu uzturēšana, kārtība, atbilstoša personāla pielaišana, ražotāja norādīto procedūru un līdzekļu lietošana. |
| Kiberdrošība un attālinātā piekļuve | Droša arhitektūra, piekļuves ierobežošana, kontu kontrole, saskarņu apraksts, atjaunināšanas noteikumi, drošumam svarīgu datu un programmatūras aizsardzība. | Tīkla segmentācija, kontu pārvaldība, izmaiņu procedūras, rezerves kopijas, servisa piekļuves uzraudzība. |
| Informācija instrukcijā | Konkrēti brīdinājumi, riska apraksts, drošas lietošanas nosacījumi, nepieciešamie lietotāja puses pasākumi, aizliegumi un lietošanas ierobežojumi. | Informācijas ieviešana praksē: apmācības, darba vietas instrukcijas, uzraudzība, noteikumu ievērošanas panākšana. |
Te ir būtība.
Atlikušais risks var būt kopīgs. Bet kopīgs nenozīmē nesalasāms.
Kopīgs nenozīmē: „ražotājs uzrakstīja, lietotājs atbild.”
Kopīgs nenozīmē: „darba aizsardzības speciālists uztaisīs procedūru, tātad projekts ir kārtībā.”
Kopīgs nozīmē kaut ko daudz prasīgāku: ražotājam jāparāda, ko viņš izdarījis mašīnas pusē, bet lietotājam jāpārņem tas, kas tiešām ir atkarīgs no darba organizācijas, uzraudzības, uzturēšanas un ekspluatācijas apstākļiem.
Tāpēc labā riska novērtējumā pozīcija „atlikušais risks” nav pēdējais glābšanas dēlis. Tai jābūt godīgas domāšanas beigām: te bija apdraudējums, tik daudz izdarījām projektā, tik daudz izdarījām tehniski, šo vairs saprātīgi nevar novērst, neradot lielāku problēmu, un šādu informāciju un prasības nododam lietotājam.
Tikai tad „atlikušais risks” skan kā riska novērtējuma secinājums. Nevis kā pārsegs trūkstošiem lēmumiem.
Tabula sakārto tēmu, bet īsto darbu tā neaizvieto
Atbildības sadalījums izskatās labi tikai tad, kad tas nokāpj no vispārīgiem saukļiem līdz reālai darbībai pie mašīnas. Ir viegli uzrakstīt: „lietotājs nodrošina darba organizāciju”, „lietotājs lieto piemērotus piekļuves līdzekļus”, „lietotājs aizsargā tīklu”. Grūtāk ir pārbaudīt, vai lietotājs saņēmis mašīnu, kuru iespējams droši apkalpot, uzturēt un remontēt.
Paņemam servisa podestu.
Rasējumā viss izskatās pareizi. Ir tērauda konstrukcija, režģis, margas, ieeja. Piekļuve paredzēta? Paredzēta. Tēma slēgta? Ne obligāti.
Vispirms jāprasa: kādam darbam šis podests paredzēts?
Ja darbinieks tur uzkāps reizi gadā, lai nolasītu indikatoru vai pārbaudītu plāksnīti, tā ir viena situācija. Ja no tā paša podesta regulāri jāmaina motors, reduktors, cilindrs, rullis, galva, filtrs vai cita ekspluatācijas detaļa, mēs vairs nerunājam tikai par „piekļuvi”. Mēs runājam par servisa darba vietu.
Un tad vispārīgs teikums instrukcijā neder.
Kurš tur kāps? Viens darbinieks vai divi uzturēšanas speciālisti?
Ko viņi nesīs līdzi? Instrumentu kasti, dinamometrisko atslēgu, stropes, rezerves daļu?
Ko viņi demontēs? 20 kg vāku, 80 kg motoreduktoru, 150 kg reduktoru vai 500 kg motoru?
Kur detaļa nonāks pēc atskrūvēšanas? Uz podesta? Uz ratiņiem? Piekares punktā?
Vai paredzēti transporta vārtiņi, piekares punkts, pacēlājs, izcelšanas ceļš un darba vieta diviem cilvēkiem?
Vai podesta nestspēja ietver tikai cilvēku vai arī instrumentus, detaļas, lokālas slodzes un demontāžas laikā radušos spēkus?
Tie ir jautājumi no ražošanas zāles, nevis no prezentācijas.
Ja instrukcija saka, ka 500 kg motors jāmaina no podesta, tad podestam jāatbilst šim darbam. Ne darbam „operators ar atslēgu”, bet reālam uzdevumam: divi cilvēki, instrumenti, demontējams mezgls, manevrēšanas iespēja, aizsardzība pret kritienu, detaļas transportēšana un droša nolaišana līdz grīdas līmenim.
Pretējā gadījumā ir risinājuma ilūzija. Podests ir, bet uzdevumu neatrisina. Piekļuve ir, bet drošu apkopi nenodrošina. Instrukcija apraksta darbību, bet projekts nedod apstākļus tās izpildei.
Un tagad svarīgākais jautājums: vai tas ir atlikušais risks?
Ja ražotājs paredzējis regulāru servisa darbību, bet nav paredzējis drošu tās izpildes veidu, grūti runāt par godīgi aprakstītu atlikušo risku. Tā drīzāk ir nepabeigta mašīnas apkalpošanas koncepcija. Lietotājs atbild par darba organizāciju, cilvēku kvalifikāciju, LOTO, uzraudzību un podesta uzturēšanu labā stāvoklī. Bet viņam pēc pieņemšanas nevajadzētu atklāt, ka smaga mezgla nomaiņai vajadzīga improvizācija.
Ļoti līdzīgi izskatās kiberdrošības tēma.
Mašīna atbrauc ar servisa kontu. Lietotājvārds: admin. Parole: admin. Attālinātā piekļuve strādā, jo „servisam taču kaut kā jāpieslēdzas”. Dokumentācija saka, ka lietotājam jāaizsargā tīkls. IT nodaļa tēmu saņem pēc palaišanas. Uzturēšana negrib bloķēt piekļuvi, jo mašīnai jāražo. Serviss grib reaģēt ātri. Katrai pusei ir argumenti.
Bet jautājums ir vienkāršs: vai ražotājs nodeva mašīnu drošā noklusējuma konfigurācijā?
Nav runa par to, ka ražotājam jāatbild par visu lietotāja rūpnīcas tīklu. Tas būtu atrauti no realitātes. Lietotājam jāpārvalda piekļuves, segmentācija, rezerves kopijas, izmaiņu procedūras, konti, atjauninājumi un servisa savienojumu uzraudzība.
Bet ražotājs nevar nodot mašīnu ar acīmredzamu vājumu un pateikt: „tas jau ir jūsu IT”. Ja attālinātā piekļuve, konti, programmatūra, HMI konfigurācija vai dati var ietekmēt mašīnas uzvedību, šis slānis pieder drošuma novērtējumam. Tieši tāpat kā aizsargs, bloķēšana vai servisa režīms.
admin/admin nav sīkums. Tas ir digitāls ekvivalents podestam, kas it kā pastāv, bet tam nav nestspējas īstajam darbam. Dokumentācijā kaut kas ir. Realitātē lietotājs saņem problēmu, kas jālabo.
Tāpēc laba informācija lietotājam neskan: „aizsargāt tīklu”. Laba informācija pasaka, kādi konti ir izveidoti, kādas piekļuves lomas paredzētas, kas jāmaina pie pirmās palaišanas, kā darbojas attālinātais serviss, kas drīkst atjaunināt programmatūru, kuri konfigurācijas elementi ir svarīgi drošumam, kā atjaunot iestatījumus un kādus tīkla nosacījumus ražotājs ir pieņēmis drošai mašīnas darbībai.
Tikai tad var godīgi runāt par lietotāja atbildību. Tad lietotājs zina, ko pārņem. Tad atlikušais risks tiešām atrodas uz mašīnas un darba organizācijas robežas.
Bez tā mums ir tikai problēmas pārlikšana.
Tieši tāpēc jēdzienu „atlikušais risks” nedrīkst lietot viegli. Tam nav jāaizver neērti jautājumi. Tam jāparāda, kas paliek ražotāja pusē, kas pāriet lietotājam un kādi nosacījumi abām pusēm jāizpilda, lai mašīna normālas ekspluatācijas laikā paliktu droša.
Jo mašīna nebeidzas ar atbilstības deklarāciju.
Tā turpina strādāt: pārkārtošanā, tīrīšanā, apkopē, avārijās, atjauninājumos, servisa piekļuvēs un smagu mezglu nomaiņā.
Ja projekts šīs situācijas neparedz, instrukcija tās nesalabos.