Ryzyko resztkowe w maszynie.
TL;DR
  • Ryzyko resztkowe to ryzyko pozostające po pracy projektowej i zastosowaniu środków ochronnych, a nie wpis zastępujący brak decyzji.
  • Ostrzeżenie w instrukcji ma sens dopiero po sprawdzeniu geometrii, energii, dostępu, osłon, blokad i trybów pracy.
  • ISO 12100 i Rozporządzenie Maszynowe 2023/1230 ustawiają kolejność: najpierw projekt, potem zabezpieczenia, na końcu informacja.
  • Producent nie może przerzucać nierozwiązanego ryzyka na użytkownika; użytkownik odpowiada za procedury, szkolenia i nadzór.
  • Przy maszynach połączonych z siecią zdalny dostęp, konta, aktualizacje i konfiguracja też muszą być oceniane pod kątem bezpieczeństwa.

Jest strefa, do której operator może sięgnąć ręką.
Jest ruchomy element, który może pochwycić dłoń.
Jest czynność, którą ktoś będzie wykonywał naprawdę: usunięcie zacięcia, czyszczenie, nastawianie, kontrola po zatrzymaniu.

A potem w tabeli pojawia się zapis:

ryzyko resztkowe — informacja w instrukcji — nie wkładać rąk.

Na papierze wygląda to porządnie. Zagrożenie opisane. Ryzyko nazwane. Instrukcja uzupełniona. Tylko że w bezpieczeństwie maszyn taki zapis bardzo często nie porządkuje tematu, lecz go przykrywa.

Bo ryzyko resztkowe nie jest miejscem, do którego wrzuca się wszystko, czego nie rozwiązano w projekcie. Nie jest też sposobem na przeniesienie odpowiedzialności z producenta na użytkownika. To ryzyko, które pozostaje po wykonaniu pracy projektowej: po sprawdzeniu, czy zagrożenie da się usunąć konstrukcyjnie, po doborze technicznych środków ochronnych i po ocenie, czy zastosowane rozwiązania rzeczywiście ograniczają narażenie człowieka.

Dopiero wtedy można uczciwie powiedzieć: tu coś jeszcze zostaje i użytkownik musi o tym wiedzieć.

W praktyce granica bywa jednak rozmywana. Producent mówi: „opisaliśmy w instrukcji”. Integrator mówi: „użytkownik ma przeszkolić ludzi”. Użytkownik słyszy: „to już wasza organizacja pracy”. A przecież ISO 12100 i Rozporządzenie Maszynowe 2023/1230 układają tę odpowiedzialność w konkretnej kolejności: najpierw projekt, potem środki ochronne, na końcu informacja.

Ten sam problem wraca dziś także przy maszynach połączonych z siecią. Zdalny dostęp, konta serwisowe, konfiguracja sterownika, aktualizacje i dane nie są wyłącznie sprawą działu IT użytkownika, jeżeli mogą wpływać na bezpieczeństwo maszyny. Tu również nie wystarczy napisać: „użytkownik powinien zabezpieczyć sieć”. Producent musi dostarczyć maszynę, która od początku uwzględnia takie ryzyka.

Dlatego pytanie nie brzmi: czy w instrukcji pojawiło się ostrzeżenie.
Pytanie brzmi: co producent zrobił, zanim to ostrzeżenie tam wpisał?

Ryzyko resztkowe nie jest wolnym polem w tabeli

W ISO 12100 warto zatrzymać się przy jednym rysunku. Nie przy definicji, nie przy samej metodzie trzech kroków, ale przy schemacie pokazującym zmniejszanie ryzyka z punktu widzenia projektanta. Ten rysunek dobrze porządkuje odpowiedzialność: najpierw mamy ryzyko związane z maszyną, potem wkład projektanta, później ryzyko resztkowe po zastosowaniu środków ochronnych przez projektanta, następnie wkład użytkownika i dopiero na końcu ryzyko resztkowe po zastosowaniu wszystkich środków ochronnych. To nie jest ozdobny diagram do szkolenia. To jest bardzo konkretna granica, której nie wolno zacierać.

Po stronie projektanta znajdują się rozwiązania konstrukcyjne bezpieczne same w sobie, techniczne środki ochronne, uzupełniające środki ochronne oraz informacja dotycząca użytkowania. Po stronie użytkownika pojawiają się organizacja pracy, procedury, nadzór, systemy zezwoleń, dodatkowe środki techniczne, środki ochrony indywidualnej i szkolenie. To oznacza, że ryzyko resztkowe rzeczywiście leży na styku producenta i użytkownika, ale nie w takim sensie, że każdy może wpisać tam, co mu wygodne. Producent nie może przesunąć do tej strefy zagrożenia, którego nie chciał rozwiązać konstrukcyjnie. Użytkownik nie może z kolei udawać, że instrukcja i szkolenie nie mają znaczenia, jeżeli producent rzetelnie opisał ryzyka, których nie dało się usunąć po stronie projektu.

Właśnie dlatego hasło „ryzyko resztkowe” bywa tak niebezpieczne. Brzmi technicznie, więc łatwo przykrywa brak decyzji projektowej. Ktoś widzi punkt pochwycenia. Ktoś wie, że operator będzie usuwał zacięcia. Ktoś wie, że przy czyszczeniu trzeba wejść ręką w okolice elementu ruchomego. A mimo to w tabeli pojawia się: „ryzyko resztkowe — nie wkładać rąk”. Taki zapis nie mówi jeszcze, że mamy ryzyko resztkowe. Mówi tylko, że ktoś nazwał problem ryzykiem resztkowym.

Żeby użyć tego pojęcia uczciwie, trzeba pokazać drogę dojścia. Co zrobiono w konstrukcji? Czy można było zmienić geometrię, odległość, energię, prędkość, dostęp albo sposób nastawiania? Jakie osłony, blokady, ryglowania, tryby pracy albo funkcje bezpieczeństwa rozważono? Dlaczego część ryzyka rzeczywiście musi zostać opisana użytkownikowi? Dopiero taka odpowiedź przenosi temat z poziomu „wpisaliśmy w instrukcji” na poziom oceny ryzyka zgodnej z ISO 12100. Norma mówi wprost, że środki stosowane na etapie projektowania są preferowane wobec środków po stronie użytkownika, bo zwykle działają skuteczniej.

To samo wzmacnia ISO/TR 14121-2: informacja dla użytkownika ma prowadzić do poprawnego i bezpiecznego użycia maszyny oraz ostrzegać przed ryzykami, które zostały po redukcji przez projekt i zabezpieczenia. Procedury, szkolenia czy LOTO mają swoje miejsce, ale nie służą do ratowania tego, czego producent nie przepracował w konstrukcji. Inaczej nie mówimy o ryzyku resztkowym. Mówimy o ryzyku zostawionym użytkownikowi.

Trzy sytuacje, w których ryzyko resztkowe robi za wygodne alibi

Spójrzmy na prostą sytuację.

Maszyna ma ruchomy element. Operator może sięgnąć w jego okolice przy usuwaniu zacięcia, czyszczeniu, ręcznym podaniu detalu albo nastawianiu. W ocenie ryzyka pojawia się zagrożenie pochwyceniem. W kolumnie ze środkami ochronnymi pojawia się informacja: „ostrzeżenie w instrukcji”. A w instrukcji zdanie: „nie wkładać rąk w strefę pracy maszyny”.

Brzmi znajomo?

Na pierwszy rzut oka dokument wygląda na uzupełniony. Zagrożenie jest. Ryzyko jest. Ostrzeżenie jest. Tylko że bezpieczeństwo maszyny nie polega na tym, że każde puste miejsce w tabeli dostało jakiś wpis. Pytanie brzmi inaczej: co wydarzyło się przed tym ostrzeżeniem?

Czy ktoś próbował usunąć punkt pochwycenia przez zmianę geometrii? Czy ograniczono siłę, prędkość albo energię ruchu? Czy czynność nastawiania dało się przenieść poza strefę niebezpieczną? Czy przewidziano tryb nastawiania o zmniejszonym ryzyku? Czy dobrano osłonę, blokadę, ryglowanie, sterowanie podtrzymywane albo urządzenie zezwalające? Czy sprawdzono, jak operator naprawdę będzie usuwał zacięcie, a nie jak powinien to robić w idealnej instrukcji?

Jeżeli odpowiedź brzmi: „nie, ale napisaliśmy, żeby nie wkładać rąk”, to nie rozmawiamy jeszcze o ryzyku resztkowym. Rozmawiamy o ryzyku, które zostało nazwane ryzykiem resztkowym, bo tak było najłatwiej.

I tu wracamy do Rysunku 2 z ISO 12100. Ten schemat jest bardzo niewygodny dla takich skrótów. Pokazuje osobno wkład projektanta i osobno wkład użytkownika. Po stronie projektanta mamy konstrukcję bezpieczną samą w sobie, techniczne środki ochronne, uzupełniające środki ochronne oraz informację dotyczącą użytkowania. Po stronie użytkownika mamy organizację pracy, procedury, nadzór, systemy zezwoleń, dodatkowe środki techniczne, środki ochrony indywidualnej i szkolenia.

Czyli tak — ryzyko resztkowe rzeczywiście ma charakter graniczny. Dotyka obu stron. Ale to nie znaczy, że można je traktować jak wspólny worek na wszystko, czego nie dopilnowano wcześniej. Wspólne nie znaczy nieokreślone. Wspólne nie znaczy: „producent wpisze ostrzeżenie, a użytkownik jakoś to ogarnie”. Wspólne znaczy: producent pokazuje, co zrobił po swojej stronie, czego nie dało się usunąć i jakie informacje przekazuje użytkownikowi, a użytkownik organizuje pracę zgodnie z tymi informacjami.

Drugi przykład jest jeszcze ciekawszy, bo często nie kojarzy się od razu z oceną ryzyka maszyny.

Wyobraźmy sobie maszynę, w której filtr trzeba wymieniać co tydzień. Czujnik trzeba czyścić przy każdej zmianie formatu. Punkt smarowania znajduje się dwa metry nad posadzką. Jakiś element trzeba okresowo wyjąć z wnętrza maszyny. Producent wpisuje w instrukcji: „czynności wykonywać z zachowaniem zasad BHP, stosować odpowiednie środki dostępu”.

No dobrze. Ale jakie środki dostępu?

Drabina z hali? Podest podstawiony przez utrzymanie ruchu? Wejście na ramę maszyny? Stanięcie na profilu konstrukcyjnym, bo „tak zawsze robimy”? A może operator ma jedną ręką trzymać się osłony, drugą odkręcać element, a trzecią — której nie ma — pilnować narzędzia?

To jest właśnie moment, w którym teoria spotyka się z praktyką. Jeżeli producent przewiduje regularną czynność obsługową, konserwacyjną, czyszczącą albo regulacyjną, to musi zapytać: jak człowiek ma tam bezpiecznie dojść, gdzie ma stanąć i jak ma wykonać pracę bez kombinowania?

Nie każda praca na wysokości przy maszynie od razu oznacza, że producent ma zbudować rozbudowany pomost. Ale nie można też iść w drugą stronę i udawać, że dostęp do miejsca częstej obsługi jest wyłącznie problemem użytkownika. ISO 12100 wskazuje, że rutynowe czynności obsługi, nastawiania i konserwacji powinny być wykonywane z poziomu podłoża, jeżeli to możliwe. Gdy to nie jest możliwe, trzeba przewidzieć bezpieczny dostęp: pomosty, schody, przejścia, balustrady albo inne rozwiązania. Tu pojawia się seria ISO 14122 dotycząca stałych środków dostępu do maszyn.

I wtedy robi się naprawdę ciekawie.

Bo jeżeli istnieje techniczny środek, który pozwala bezpiecznie wykonywać częste wymiany, regulacje albo konserwację, to dlaczego od razu zakładamy, że użytkownik ma rozwiązać temat organizacyjnie? Dlaczego stały podest nie został przewidziany w projekcie? Dlaczego instrukcja wymaga cotygodniowej czynności w miejscu trudno dostępnym, ale projekt nie daje człowiekowi bezpiecznego miejsca pracy? Dlaczego producent opisuje czynność, ale nie projektuje warunków jej wykonania?

To nie są pytania akademickie. To są pytania z odbioru maszyny, z audytu, z hali produkcyjnej. Jeżeli użytkownik musi regularnie wykonywać daną czynność, to dostęp do tego miejsca nie jest dodatkiem. Jest częścią bezpieczeństwa maszyny albo przynajmniej częścią wymagań instalacyjnych, które producent powinien jasno określić. Inaczej znowu pojawia się wygodny skrót: „ryzyko resztkowe — użytkownik ma stosować odpowiednie środki dostępu”. Tylko że takie zdanie często nie opisuje ryzyka resztkowego. Ono opisuje brak decyzji projektowej.

Trzeci przykład wygląda nowocześniej, ale mechanizm pozostaje ten sam.

Maszyna ma zdalny dostęp. Ma sterownik, HMI, komputer przemysłowy, konta serwisowe, możliwość aktualizacji, przesył danych, czasem połączenie z systemem nadrzędnym. Producent mówi: „użytkownik musi zabezpieczyć sieć”. Dział IT dostaje temat po odbiorze. Utrzymanie ruchu chce, żeby serwis mógł się szybko połączyć. Produkcja chce, żeby maszyna działała. Każdy ma swoje racje.

Ale zadajmy proste pytanie: czy naruszenie tej warstwy może wpływać na bezpieczeństwo maszyny?

Jeżeli zdalny dostęp pozwala zmienić parametry, tryby pracy, logikę sterowania, konfigurację HMI albo dane istotne dla funkcji bezpieczeństwa, to nie jest to wyłącznie sprawa firmowego firewalla. Jeżeli maszyna trafia do użytkownika z domyślnymi hasłami, nieopisanymi kontami, otwartym zdalnym dostępem albo niejasną procedurą aktualizacji, to trudno mówić, że całe ryzyko cyberbezpieczeństwa leży po stronie użytkownika.

Użytkownik oczywiście ma swoje obowiązki. Musi zarządzać siecią, kontami, dostępami, kopiami zapasowymi, aktualizacjami, segmentacją i procedurami zmian. Ale producent nie może dostarczyć maszyny w stanie „jakoś to sobie zabezpieczycie” i nazwać tego ryzykiem resztkowym. Zwłaszcza po wejściu Rozporządzenia Maszynowego 2023/1230, które wyraźnie przesuwa cyberbezpieczeństwo bliżej bezpieczeństwa maszyn, jeżeli naruszenie sprzętu, oprogramowania albo danych może prowadzić do sytuacji zagrożenia.

Tu również obowiązuje ta sama logika: najpierw projekt, potem środki techniczne, a dopiero potem informacja dla użytkownika. Nie odwrotnie.

Dlatego w każdym z tych trzech przykładów — przy pochwyceniu, przy podestach i przy cyberbezpieczeństwie — trzeba wrócić do jednego pytania:

czy producent rzeczywiście ograniczył ryzyko, czy tylko opisał je użytkownikowi?

To pytanie jest niewygodne, ale bardzo potrzebne. Bo ryzyko resztkowe nie ma służyć do tego, żeby ładnie zamknąć tabelę. Ma pokazać, co naprawdę pozostaje po stronie maszyny, po stronie organizacji pracy i na styku obu tych obszarów. Jeżeli producent wykonał swoją część pracy, użytkownik musi potraktować informacje poważnie. Musi szkolić ludzi, utrzymywać zabezpieczenia, organizować pracę i nie obchodzić środków ochronnych. Ale jeżeli producent tej pracy nie wykonał, to instrukcja nie naprawi projektu.

„Nie wkładać rąk”, „stosować odpowiedni podest” i „zabezpieczyć sieć” mogą być ważnymi informacjami. Mogą być częścią końcowego pakietu bezpieczeństwa. Ale nie mogą udawać, że wcześniej nie trzeba było zadać trudniejszych pytań.

Kiedy ryzyko naprawdę jest resztkowe?

Po tych przykładach widać jedną rzecz: nie każde ryzyko, które zostało przy maszynie, zasługuje od razu na nazwę ryzyko resztkowe.

Bo co to właściwie znaczy: „zostało”?

Zostało po zmianie konstrukcji?
Zostało po osłonie, blokadzie, ryglowaniu albo trybie nastawiania?
Zostało po przeniesieniu punktu smarowania poza strefę niebezpieczną?
Zostało po zaprojektowaniu stałego dostępu do miejsca konserwacji?
Czy zostało dlatego, że nikt nie chciał tego ruszać i najłatwiej było dopisać ostrzeżenie?

To są dwie zupełnie różne sytuacje.

ISO 12100 rozdziela ten temat bardzo precyzyjnie. Mamy ryzyko resztkowe po zastosowaniu środków przez projektanta i ryzyko resztkowe po zastosowaniu wszystkich środków, czyli także tych po stronie użytkownika. Na Rysunku 2 widać ten podział bardzo dobrze: najpierw wkład projektanta, potem wkład użytkownika, a między nimi obszar, w którym informacja od producenta musi zostać realnie wykorzystana przez organizację pracy użytkownika.

I właśnie dlatego ryzyka resztkowego nie wolno traktować jak luźnej rubryki. To nie jest miejsce na zdanie: „użytkownik zachowa ostrożność”. To jest miejsce na konkretny wniosek po wykonanej pracy projektowej.

Najprościej można to rozpoznać tak:

PytanieJeżeli odpowiedź brzmi „tak”Jeżeli odpowiedź brzmi „nie”
Czy zagrożenie zostało opisane konkretnie: gdzie, kiedy, kto jest narażony i przy jakiej czynności?Można dalej oceniać, czy mówimy o ryzyku resztkowym.To nie jest jeszcze ocena ryzyka, tylko ogólny opis zagrożenia.
Czy producent sprawdził, czy zagrożenie da się usunąć konstrukcyjnie?Idziemy zgodnie z logiką ISO 12100.Ostrzeżenie w instrukcji pojawia się za wcześnie.
Czy rozważono techniczne środki ochronne: osłony, blokady, ryglowanie, tryby pracy, sterowanie podtrzymywane, ograniczenie energii, prędkości lub siły?Można uzasadniać, dlaczego część ryzyka nadal pozostaje.Ryzyko prawdopodobnie nie jest „resztkowe”, tylko niedopracowane.
Czy producent wykazał, dlaczego danego środka nie zastosował?Dokumentacja pokazuje decyzję inżynierską.Mamy lukę. A luka nie staje się ryzykiem resztkowym tylko dlatego, że ktoś ją tak nazwał.
Czy informacja dla użytkownika jest konkretna?Użytkownik wie, co ma zrobić: kiedy, jak, czym i w jakich warunkach.„Zachować ostrożność” albo „nie wkładać rąk” nie wystarcza.
Czy użytkownik ma realny wpływ na dany środek?To może być obszar po stronie użytkownika: szkolenie, LOTO, nadzór, procedura, utrzymanie, PPE, organizacja pracy.Nie wolno udawać, że użytkownik przejmuje coś, czego nie może skutecznie kontrolować.
Czy środek po stronie użytkownika da się utrzymać w praktyce?Można mówić o wspólnej odpowiedzialności.Jeżeli wymaga stałego „pilnowania ludzi”, a dało się zastosować środek techniczny, problem wraca do producenta.
Czy po zastosowaniu środka ochronnego sprawdzono, czy nie powstało nowe ryzyko?Ocena ryzyka ma zamkniętą pętlę.Proces nie jest zakończony. ISO/TR 14121-2 przypomina, że po wdrożeniu środków trzeba ponownie sprawdzić, czy ryzyko rzeczywiście spadło i czy nie pojawiły się nowe zagrożenia.

Ta tabela nie jest formalnym algorytmem. Jest filtrem zdrowego rozsądku. Jeżeli po jej przejściu zostaje nam tylko zdanie „operator ma uważać”, to znaczy, że jesteśmy za wcześnie. Jeszcze nie doszliśmy do ryzyka resztkowego.

Warto też od razu rozdzielić odpowiedzialność.

ObszarCo powinien zrobić producentCo realnie przejmuje użytkownik
Pochwycenie, zgniecenie, kontakt z ruchemProjekt, geometria, ograniczenie energii, osłony, blokady, tryby pracy, funkcje bezpieczeństwa, jasny opis ryzyka, którego nie udało się usunąć.Szkolenie, nadzór, utrzymanie osłon i blokad, procedury usuwania zacięć, zakaz obchodzenia środków ochronnych.
Czyszczenie, nastawianie, konserwacjaPrzewidzenie tych czynności w ocenie ryzyka, ograniczenie dostępu do stref niebezpiecznych, tryby serwisowe, punkty nastawiania poza strefą, bezpieczny dostęp.Organizacja prac, kwalifikacje personelu, LOTO, plan konserwacji, sprawdzanie stanu środków ochronnych.
Dostęp na wysokości, podesty, przejściaOcena, czy czynność jest częsta i przewidywalna; zaprojektowanie lub określenie wymagań dla stałego środka dostępu, jeżeli jest potrzebny.Utrzymanie dojść, porządek, dopuszczenie właściwego personelu, stosowanie procedur i środków wskazanych przez producenta.
Cyber i zdalny dostępBezpieczna architektura, ograniczenie dostępu, kontrola kont, opis interfejsów, zasady aktualizacji, ochrona danych i oprogramowania istotnych dla bezpieczeństwa.Segmentacja sieci, zarządzanie kontami, procedury zmian, kopie zapasowe, nadzór nad dostępem serwisowym.
Informacja w instrukcjiKonkretne ostrzeżenia, opis ryzyka, warunki bezpiecznego użycia, wymagane środki po stronie użytkownika, zakazy i ograniczenia użycia.Wdrożenie informacji w praktyce: szkolenia, instrukcje stanowiskowe, nadzór, egzekwowanie zasad.

I tu dochodzimy do sedna.

Ryzyko resztkowe może być wspólne. Ale wspólne nie znaczy nieczytelne.
Wspólne nie znaczy: „producent napisał, użytkownik odpowiada”.
Wspólne nie znaczy: „dział BHP zrobi procedurę, więc projekt jest w porządku”.

Wspólne znaczy coś dużo bardziej wymagającego: producent musi pokazać, co zrobił po stronie maszyny, a użytkownik musi przejąć to, co faktycznie zależy od organizacji pracy, nadzoru, utrzymania i warunków eksploatacji.

Dlatego w dobrej ocenie ryzyka pozycja „ryzyko resztkowe” nie powinna być ostatnią deską ratunku. Powinna być końcem uczciwego rozumowania:

tu było zagrożenie, tyle zrobiliśmy w projekcie, tyle zrobiliśmy technicznie, tego nie da się już sensownie usunąć bez tworzenia większego problemu, a taką informację i takie wymagania przekazujemy użytkownikowi.

Dopiero wtedy „ryzyko resztkowe” brzmi jak wniosek z oceny ryzyka.
A nie jak przykrywka dla decyzji, których zabrakło.

Tabela porządkuje temat, ale nie zastąpi opisu prawdziwej pracy

Taki podział odpowiedzialności wygląda dobrze dopiero wtedy, gdy schodzi z ogólnych haseł na poziom realnej czynności przy maszynie. Bo łatwo napisać: „użytkownik zapewnia organizację pracy”, „użytkownik stosuje odpowiednie środki dostępu”, „użytkownik zabezpiecza sieć”. Trudniej sprawdzić, czy użytkownik dostał maszynę, którą da się bezpiecznie obsłużyć, konserwować i utrzymać.

Weźmy podest serwisowy.

Na rysunku wszystko wygląda poprawnie. Jest konstrukcja stalowa, krata, balustrada, wejście. Dostęp przewidziany? Przewidziany. Temat zamknięty? Niekoniecznie.

Najpierw trzeba zapytać: do jakiej pracy ten podest ma służyć?

Jeżeli pracownik raz na rok wejdzie tam, żeby odczytać wskaźnik albo sprawdzić tabliczkę, mamy jedną sytuację. Jeżeli jednak z tego samego podestu trzeba regularnie wymieniać silnik, przekładnię, siłownik, rolkę, głowicę, filtr albo inny element eksploatacyjny, to nie mówimy już tylko o „dostępie”. Mówimy o stanowisku pracy serwisowej.

I wtedy ogólne zdanie w instrukcji nie wystarcza.

Kto ma tam wejść? Jeden pracownik czy dwóch ludzi z utrzymania ruchu?
Co wniosą ze sobą? Skrzynkę narzędziową, klucz dynamometryczny, zawiesia, część zamienną?
Co będą demontować? Pokrywę 20 kg, motoreduktor 80 kg, przekładnię 150 kg, a może silnik 500 kg?
Gdzie odłożą element po odkręceniu? Na podeście? Na wózku? Na zawiesiu?
Czy przewidziano bramkę transportową, punkt podwieszenia, wciągnik, drogę wyjęcia elementu i miejsce pracy dla dwóch osób?
Czy nośność podestu obejmuje tylko człowieka, czy także narzędzia, części, obciążenie miejscowe i siły powstające przy demontażu?

To są pytania z hali, nie z prezentacji szkoleniowej.

Jeżeli instrukcja mówi, że silnik o masie 500 kg wymienia się z poziomu podestu, to podest musi odpowiadać takiej pracy. Nie pracy „operatora z kluczem”, tylko realnemu zadaniu: dwóch pracowników, narzędzia, demontowany element, możliwość manewrowania, zabezpieczenie przed upadkiem, transport części i bezpieczne opuszczenie jej na poziom posadzki.

W przeciwnym razie mamy pozór rozwiązania. Podest jest, ale nie rozwiązuje zadania. Dostęp jest, ale nie zapewnia bezpiecznej konserwacji. Instrukcja opisuje czynność, ale projekt nie daje warunków do jej wykonania.

I teraz najważniejsze pytanie: czy to jest ryzyko resztkowe?

Jeżeli producent przewidział regularną czynność serwisową, ale nie przewidział sposobu jej bezpiecznego wykonania, to trudno mówić o uczciwie opisanym ryzyku resztkowym. To raczej niedokończona koncepcja obsługi maszyny. Użytkownik odpowiada za organizację pracy, kwalifikacje ludzi, LOTO, nadzór i utrzymanie podestu w dobrym stanie. Ale nie powinien dopiero po odbiorze odkrywać, że do wymiany ciężkiego zespołu potrzebuje improwizacji.

Bardzo podobnie wygląda temat cyberbezpieczeństwa.

Maszyna przyjeżdża z kontem serwisowym. Login: admin. Hasło: admin. Zdalny dostęp działa, bo „serwis musi się jakoś połączyć”. Dokumentacja mówi, że użytkownik powinien zabezpieczyć sieć. Dział IT dostaje temat po uruchomieniu. Utrzymanie ruchu nie chce blokować dostępu, bo maszyna ma produkować. Serwis chce szybko reagować. Każda strona ma swoje argumenty.

Ale pytanie jest proste: czy producent przekazał maszynę w bezpiecznej konfiguracji domyślnej?

Nie chodzi o to, żeby producent odpowiadał za całą sieć zakładową użytkownika. To byłoby oderwane od rzeczywistości. Użytkownik musi zarządzać dostępami, segmentacją, kopiami zapasowymi, procedurami zmian, kontami, aktualizacjami i nadzorem nad połączeniami serwisowymi.

Ale producent nie może przekazać maszyny z oczywistą słabością i powiedzieć: „to już wasze IT”. Jeżeli zdalny dostęp, konta, oprogramowanie, konfiguracja HMI albo dane mogą wpływać na zachowanie maszyny, to ta warstwa należy do oceny bezpieczeństwa. Tak samo jak osłona, blokada czy tryb serwisowy.

Hasło admin/admin to nie drobiazg. To cyfrowy odpowiednik podestu, który niby istnieje, ale nie ma nośności dla prawdziwej pracy. W dokumentacji coś jest. W rzeczywistości użytkownik dostaje problem do naprawienia.

Dlatego dobra informacja dla użytkownika nie brzmi: „zabezpieczyć sieć”. Dobra informacja mówi: jakie są konta, jakie role dostępu przewidziano, co trzeba zmienić przy pierwszym uruchomieniu, jak działa zdalny serwis, kto może aktualizować oprogramowanie, które elementy konfiguracji mają znaczenie dla bezpieczeństwa, jak odtworzyć ustawienia i jakie warunki sieciowe producent przyjął dla bezpiecznej pracy maszyny.

Dopiero wtedy można uczciwie rozmawiać o odpowiedzialności użytkownika. Wtedy użytkownik wie, co przejmuje. Wtedy ryzyko resztkowe faktycznie leży na styku maszyny i organizacji pracy.

Bez tego mamy tylko przerzucenie problemu.

Właśnie dlatego pojęcia „ryzyko resztkowe” nie wolno używać lekko. Ono nie ma zamykać niewygodnych pytań. Ma pokazywać, co zostało po stronie producenta, co przechodzi na użytkownika i jakie warunki muszą spełnić obie strony, żeby maszyna pozostała bezpieczna podczas normalnej eksploatacji.

Bo maszyna nie kończy się na deklaracji zgodności.

Ona pracuje dalej: przy przezbrojeniach, czyszczeniu, konserwacji, awariach, aktualizacjach, dostępach serwisowych i wymianie ciężkich zespołów.

Jeżeli projekt nie przewiduje tych sytuacji, instrukcja ich nie naprawi.

Najczęściej zadawane pytania

Czym jest ryzyko resztkowe w maszynie?

Ryzyko resztkowe to ryzyko, które pozostaje po zastosowaniu środków zmniejszania ryzyka przez projektanta maszyny. W podejściu PN-EN ISO 12100 najpierw należy dążyć do konstrukcji bezpiecznej samej w sobie, następnie dobrać techniczne i uzupełniające środki ochronne, a dopiero potem przekazać użytkownikowi informacje o pozostałych zagrożeniach.

Nie jest to więc „pojemnik” na problemy nierozwiązane w projekcie. Żeby mówić o ryzyku resztkowym, trzeba wykazać, jakie działania redukujące ryzyko zostały wcześniej rozważone i zastosowane.

Czy zapis „nie wkładać rąk” wystarcza jako środek ochronny?

Zwykle nie. Samo ostrzeżenie w instrukcji nie zastępuje osłony, blokady, ryglowania, ograniczenia energii, zmiany geometrii ani bezpiecznego trybu nastawiania, jeżeli takie środki są możliwe i adekwatne do zagrożenia.

Informacja dla użytkownika ma sens dopiero wtedy, gdy projektant wykazał, że ryzyko zostało wcześniej ograniczone zgodnie z hierarchią środków z PN-EN ISO 12100, a mimo to pozostaje ryzyko resztkowe wymagające opisania.

Kto odpowiada za ryzyko resztkowe: producent czy użytkownik?

Odpowiedzialność jest podzielona, ale nie dowolna. Producent odpowiada za ocenę ryzyka, redukcję ryzyka na etapie projektu oraz rzetelne poinformowanie o ryzyku resztkowym, którego nie dało się wyeliminować lub wystarczająco ograniczyć środkami projektowymi.

Użytkownik odpowiada za bezpieczną organizację pracy, szkolenie, nadzór, procedury, środki ochrony indywidualnej i stosowanie instrukcji. Nie oznacza to jednak, że producent może przerzucić na użytkownika zagrożenie, które powinno zostać rozwiązane konstrukcyjnie lub technicznie.

Jak rozpoznać, że ryzyko nazwano resztkowym zbyt wcześnie?

Sygnałem ostrzegawczym jest sytuacja, w której w ocenie ryzyka pojawia się dostępny punkt pochwycenia, zgniecenia lub przecięcia, a jedynym środkiem jest ostrzeżenie typu „nie wkładać rąk”. To nie dowodzi jeszcze, że mamy rzeczywiste ryzyko resztkowe.

W dokumentacji powinno być widać, czy rozważono zmianę konstrukcji, ograniczenie energii lub prędkości, przeniesienie czynności poza strefę niebezpieczną, osłony, blokady, ryglowania, funkcje bezpieczeństwa oraz tryby pracy o zmniejszonym ryzyku.

Jak dokumentować ryzyko resztkowe w ocenie ryzyka maszyny?

Dobrze udokumentowane ryzyko resztkowe nie powinno być pojedynczym hasłem w tabeli. Powinno pokazywać drogę dojścia: zagrożenie, zadanie wykonywane przez człowieka, fazę życia maszyny, osoby narażone, ocenę ryzyka przed redukcją oraz zastosowane środki ochronne.

  • opisać, jakie rozwiązania konstrukcyjne i techniczne rozważono,
  • wskazać, które środki zastosowano i jak ograniczają narażenie,
  • określić, co nadal pozostaje po redukcji ryzyka,
  • przenieść konkretne informacje do instrukcji, oznaczeń i procedur użytkowania.

Nie zostawiaj ryzyka resztkowego bez uzasadnienia

Prowadź ocenę ryzyka tak, by każde ostrzeżenie wynikało z wcześniejszych decyzji projektowych i dobranych środków ochronnych. Łatwiej pokażesz, co naprawdę zostało po redukcji ryzyka.

Załóż konto Możesz zacząć od jednej maszyny.