Există o zonă în care operatorul poate ajunge cu mâna.
Există un element mobil care poate prinde palma.
Există o operație pe care cineva o va face pe bune: scoaterea unui blocaj, curățare, reglare, verificare după oprire.
Apoi, în tabel apare formula comodă: risc rezidual — informație în manual — nu introduceți mâinile.
Pe hârtie arată îngrijit. Pericolul este descris. Riscul are un nume. Manualul a primit o frază. Doar că, în securitatea mașinilor, o asemenea notă de multe ori nu clarifică problema. O acoperă.
Pentru că risc rezidual nu este sacul comun în care aruncăm tot ce nu am rezolvat în proiect. Nu este nici o metodă elegantă de a muta responsabilitatea de la producător la utilizator. Este riscul care rămâne după munca de proiectare: după ce s-a verificat dacă pericolul poate fi eliminat constructiv, după ce s-au ales măsuri de protecție tehnice și după ce s-a verificat dacă soluțiile chiar reduc expunerea omului.
Abia atunci poți spune cinstit: aici mai rămâne ceva, iar utilizatorul trebuie să știe exact ce rămâne.
În practică, granița se încețoșează repede. Producătorul spune: „am scris în instrucțiuni”. Integratorul spune: „utilizatorul trebuie să instruiască oamenii”. Utilizatorul aude: „de aici ține de organizarea voastră”. Numai că ISO 12100 și Regulamentul (UE) 2023/1230 pun ordinea foarte clar: mai întâi proiectul, apoi măsurile de protecție, la final informația.
Același mecanism apare azi și la mașinile conectate la rețea. Acces la distanță, conturi de service, configurarea controlerului, actualizări, date, HMI. Nu sunt doar treaba departamentului IT al utilizatorului dacă pot influența securitatea mașinii. Nici aici nu ajunge să scrii: „utilizatorul va securiza rețeaua”. Producătorul trebuie să livreze o mașină care ia în calcul aceste riscuri de la început.
Deci întrebarea nu este: a apărut avertismentul în manual?
Întrebarea este: ce a făcut producătorul înainte să îl scrie acolo?
Risc rezidual nu este o rubrică liberă în tabel
În ISO 12100 merită să te oprești la un desen. Nu doar la definiție. Nu doar la metoda celor trei pași. La schema care arată reducerea riscului din punctul de vedere al proiectantului.
Desenul acela pune ordine în responsabilitate. Mai întâi avem riscul legat de mașină. Apoi contribuția proiectantului. Apoi riscul rămas după măsurile aplicate de proiectant. Apoi contribuția utilizatorului. Și abia la final riscul rămas după toate măsurile de protecție.
Nu este un desen decorativ pentru un curs. Este o linie de demarcație foarte concretă. Pe partea proiectantului intră proiectarea sigură prin construcție, măsurile tehnice de protecție, măsurile suplimentare de protecție și informația pentru utilizare. Pe partea utilizatorului intră organizarea muncii, procedurile, supravegherea, sistemele de autorizare, măsurile tehnice suplimentare, echipamentele individuale de protecție și instruirea.
Asta înseamnă că riscul rezidual chiar se află la interfața dintre producător și utilizator. Dar nu în sensul că fiecare poate trece acolo ce îi convine. Producătorul nu poate muta în această zonă un pericol pe care nu a vrut să îl rezolve constructiv. Utilizatorul nu poate pretinde că manualul și instruirea nu contează, dacă producătorul a descris corect riscurile care nu au putut fi eliminate din proiect.
Tocmai de aceea expresia „risc rezidual” este periculoasă când este folosită ușor. Sună tehnic. Sună matur. Sună ca și cum cineva a făcut o evaluare serioasă. Dar uneori acoperă doar lipsa unei decizii inginerești.
Cineva vede punctul de prindere. Cineva știe că operatorul va scoate blocaje. Cineva știe că la curățare mâna intră lângă un element mobil. Și totuși, în tabel apare: „risc rezidual — nu introduceți mâinile”. Această frază nu dovedește că avem risc rezidual. Dovedește doar că cineva a botezat problema așa.
Ca să folosești corect noțiunea, trebuie să arăți drumul parcurs. Ce s-a făcut în construcție? Se putea modifica geometria, distanța, energia, viteza, accesul sau modul de reglare? Ce apărători, interblocări, interblocări cu blocare, moduri de lucru sau funcții de securitate au fost analizate? De ce o parte din risc chiar trebuie comunicată utilizatorului?
Abia un răspuns de acest tip mută discuția de la „am scris în manual” la o evaluare a riscului conform ISO 12100. Standardul spune clar că măsurile aplicate în etapa de proiectare sunt preferate celor lăsate utilizatorului, pentru că de regulă sunt mai eficiente. ISO/TR 14121-2 întărește aceeași idee: informația pentru utilizator trebuie să susțină utilizarea corectă și sigură a mașinii și să avertizeze asupra riscurilor rămase după reducerea prin proiect și protecții.
Procedurile, instruirea și LOTO au locul lor. Dar nu sunt trusa de prim ajutor pentru o proiectare neterminată. Altfel nu vorbim despre risc rezidual. Vorbim despre risc lăsat utilizatorului.
Trei situații în care riscul rezidual devine alibi comod
1. Prinderea mâinii: „nu introduceți mâinile” nu este măsură tehnică
Să luăm o situație simplă.
Mașina are un element mobil. Operatorul poate ajunge în zona lui când scoate un blocaj, curăță, introduce manual o piesă sau face reglaje. În evaluarea riscului apare pericolul de prindere. În coloana măsurilor apare: „avertisment în manual”. Iar în manual stă fraza: „nu introduceți mâinile în zona de lucru a mașinii”.
Sună cunoscut?
La prima vedere, documentul este complet. Pericolul există. Riscul există. Avertismentul există. Numai că securitatea mașinii nu înseamnă să umpli fiecare celulă goală cu un text oarecare. Întrebarea este alta: ce s-a întâmplat înainte de avertisment?
A încercat cineva să elimine punctul de prindere prin schimbarea geometriei? S-au limitat forța, viteza sau energia mișcării? Operația de reglare putea fi mutată în afara zonei periculoase? A fost prevăzut un mod de reglare cu risc redus? S-au analizat o apărătoare, o interblocare, o interblocare cu blocare, o comandă menținută sau un dispozitiv de validare? S-a verificat cum va scoate operatorul blocajul în realitate, nu cum ar trebui să îl scoată într-un manual perfect?
Dacă răspunsul este: „nu, dar am scris să nu bage mâna”, atunci nu discutăm încă despre risc rezidual. Discutăm despre un risc numit convenabil risc rezidual pentru că așa a fost mai ușor.
Aici schema din ISO 12100 devine incomodă pentru scurtături. Ea separă contribuția proiectantului de contribuția utilizatorului. Pe partea proiectantului avem proiectare sigură, măsuri tehnice, măsuri suplimentare și informații pentru utilizare. Pe partea utilizatorului avem organizare, proceduri, supraveghere, autorizări, instruire și menținerea măsurilor.
Da, riscul rezidual are caracter de graniță. Atinge ambele părți. Dar comun nu înseamnă neclar. Comun nu înseamnă: producătorul scrie o frază, iar utilizatorul se descurcă. Comun înseamnă: producătorul arată ce a făcut, ce nu a putut elimina și ce transmite mai departe; utilizatorul organizează munca pe baza acestor informații.
2. Platforme, acces și mentenanță: dacă omul lucrează acolo, proiectul trebuie să știe asta
Al doilea exemplu pare banal, dar produce multe improvizații în hală.
Filtrul trebuie schimbat săptămânal. Senzorul trebuie curățat la fiecare schimbare de format. Un punct de ungere este la doi metri deasupra pardoselii. O componentă trebuie scoasă periodic din interiorul mașinii. Producătorul scrie în manual: „operațiile se efectuează cu respectarea regulilor de securitate și folosind mijloace de acces adecvate”.
Bine. Dar care mijloace?
Scara din hală? O platformă adusă de mentenanță? Urcarea pe cadrul mașinii? Piciorul pe un profil, pentru că „așa facem de ani de zile”? Sau operatorul trebuie să se țină cu o mână de apărătoare, cu cealaltă să desfacă piesa, iar cu a treia — pe care nu o are — să țină scula?
Aici teoria se lovește de practică. Dacă producătorul prevede o operație regulată de deservire, curățare, reglare sau mentenanță, trebuie să întrebe simplu: cum ajunge omul acolo în siguranță, unde stă și cum lucrează fără artificii?
Nu orice lucru la înălțime înseamnă automat că producătorul trebuie să construiască o pasarelă complexă. Dar nici nu poți merge în extrema cealaltă, prefăcându-te că accesul la un punct de intervenție frecvent este exclusiv problema utilizatorului. ISO 12100 indică faptul că operațiile de rutină pentru deservire, reglare și mentenanță ar trebui făcute de la nivelul solului, dacă este posibil. Dacă nu este posibil, trebuie prevăzut acces sigur: platforme, scări, treceri, balustrade sau alte soluții. Aici intră seria ISO 14122 privind mijloacele fixe de acces la mașini.
Și atunci devine interesant.
Dacă există o măsură tehnică prin care schimbările, reglajele sau mentenanța frecventă se pot face în siguranță, de ce presupunem automat că utilizatorul trebuie să rezolve tema organizatoric? De ce platforma fixă nu a fost prevăzută în proiect? De ce manualul cere o operație săptămânală într-un loc greu accesibil, dar proiectul nu oferă un loc sigur de lucru?
Nu sunt întrebări de seminar. Sunt întrebări de recepție, audit și producție. Dacă utilizatorul trebuie să facă regulat o operație, accesul la acel loc nu este un accesoriu. Este parte din securitatea mașinii sau, cel puțin, parte din cerințele de instalare pe care producătorul trebuie să le definească limpede.
Altfel apare iar formula comodă: „risc rezidual — utilizatorul va folosi mijloace de acces adecvate”. De multe ori, fraza nu descrie risc rezidual. Descrie o decizie de proiectare care lipsește.
3. Acces la distanță și securitate cibernetică: nu este doar treaba IT
Al treilea exemplu sună mai modern, dar mecanismul este același.
Mașina are acces la distanță. Are controler, HMI, calculator industrial, conturi de service, posibilitate de actualizare, transfer de date, uneori legătură cu un sistem superior. Producătorul spune: „utilizatorul trebuie să securizeze rețeaua”. Departamentul IT primește subiectul după recepție. Mentenanța vrea ca service-ul să se conecteze rapid. Producția vrea ca mașina să meargă. Toți au argumente.
Dar întrebarea simplă este: compromiterea acestei zone poate influența securitatea mașinii?
Dacă accesul la distanță permite modificarea parametrilor, modurilor de lucru, logicii de comandă, configurării HMI sau datelor importante pentru funcțiile de securitate, nu mai vorbim doar despre firewall-ul firmei. Dacă mașina ajunge la utilizator cu parole implicite, conturi nedescrise, acces la distanță deschis sau proceduri neclare de actualizare, este greu să spui că întregul risc de securitate cibernetică stă la utilizator.
Utilizatorul are obligațiile lui. Trebuie să gestioneze rețeaua, conturile, accesurile, copiile de siguranță, actualizările, segmentarea și procedurile de schimbare. Dar producătorul nu poate livra mașina în starea „o securizați voi cumva” și să numească asta risc rezidual. Mai ales după Regulamentul (UE) 2023/1230, care aduce securitatea cibernetică mult mai aproape de securitatea mașinilor atunci când compromiterea echipamentului, software-ului sau datelor poate duce la o situație periculoasă.
Și aici ordinea este aceeași: mai întâi proiect, apoi măsuri tehnice, abia apoi informații pentru utilizator. Nu invers.
De aceea, în toate cele trei exemple — prindere, platforme și securitate cibernetică — trebuie să revenim la o singură întrebare:
producătorul chiar a redus riscul sau doar l-a descris utilizatorului?
Întrebarea este incomodă. Dar este necesară. Riscul rezidual nu există ca să închidă frumos tabelul. Există ca să arate ce rămâne cu adevărat pe partea mașinii, pe partea organizării muncii și la interfața dintre cele două.
Dacă producătorul și-a făcut partea, utilizatorul trebuie să ia informațiile în serios. Trebuie să instruiască oamenii, să mențină protecțiile, să organizeze munca și să nu ocolească măsurile de protecție. Dar dacă producătorul nu și-a făcut partea, instrucțiunile nu repară proiectul.
Când riscul chiar este risc rezidual?
După aceste exemple se vede clar: nu orice risc rămas lângă mașină merită automat numele de risc rezidual.
Ce înseamnă, de fapt, „a rămas”?
A rămas după schimbarea construcției? A rămas după apărătoare, interblocare, interblocare cu blocare sau mod de reglare? A rămas după mutarea punctului de ungere în afara zonei periculoase? A rămas după proiectarea unui acces fix la locul de mentenanță? Sau a rămas pentru că nimeni nu a vrut să se atingă de problemă și cel mai simplu a fost să se adauge un avertisment?
Sunt două situații complet diferite.
ISO 12100 separă tema precis. Există riscul rămas după măsurile aplicate de proiectant și riscul rămas după toate măsurile, inclusiv cele de pe partea utilizatorului. Între ele se află zona în care informația transmisă de producător trebuie folosită real în organizarea muncii la utilizator.
De aceea, riscul rezidual nu trebuie tratat ca o rubrică liberă. Nu este locul pentru fraza „utilizatorul va fi atent”. Este locul pentru o concluzie concretă după o muncă de proiectare verificabilă.
Cel mai simplu îl filtrezi așa:
| Întrebare | Dacă răspunsul este „da” | Dacă răspunsul este „nu” |
|---|---|---|
| Pericolul este descris concret: unde, când, cine este expus și în timpul cărei operații? | Poți continua analiza ca să vezi dacă vorbim despre risc rezidual. | Nu ai încă evaluare a riscului, ci doar o descriere generală. |
| Producătorul a verificat dacă pericolul poate fi eliminat prin construcție? | Mergi pe logica ISO 12100. | Avertismentul din manual apare prea devreme. |
| Au fost analizate măsuri tehnice: apărători, interblocări, interblocare cu blocare, moduri de lucru, comandă menținută, limitarea energiei, vitezei sau forței? | Se poate justifica de ce o parte din risc rămâne. | Riscul probabil nu este rezidual, ci insuficient lucrat. |
| Producătorul a arătat de ce o anumită măsură nu a fost aplicată? | Documentația arată o decizie inginerească. | Ai o breșă. Iar breșa nu devine risc rezidual doar pentru că a fost numită așa. |
| Informația pentru utilizator este concretă? | Utilizatorul știe ce are de făcut: când, cum, cu ce și în ce condiții. | „Atenție” sau „nu introduceți mâinile” nu ajunge. |
| Utilizatorul are control real asupra măsurii respective? | Poate fi o zonă de responsabilitate a utilizatorului: instruire, LOTO, supraveghere, procedură, mentenanță, organizare. | Nu poți pretinde că utilizatorul preia ceva ce nu poate controla eficient. |
| Măsura de pe partea utilizatorului poate fi menținută în practică? | Poți discuta despre responsabilitate comună. | Dacă cere doar „să stai mereu cu ochii pe oameni”, iar o măsură tehnică era posibilă, problema revine la proiect. |
| După aplicarea măsurii de protecție s-a verificat că nu apare un risc nou? | Evaluarea riscului are bucla închisă. | Procesul nu este terminat. ISO/TR 14121-2 amintește că după măsuri trebuie verificat din nou dacă riscul a scăzut și dacă nu au apărut pericole noi. |
Tabelul acesta nu este un algoritm juridic. Este un filtru de bun-simț tehnic. Dacă după el îți rămâne doar propoziția „operatorul trebuie să fie atent”, ești prea devreme. Nu ai ajuns încă la risc rezidual.
Merită separată imediat și responsabilitatea:
| Zonă | Ce trebuie să facă producătorul | Ce preia realist utilizatorul |
|---|---|---|
| Prindere, strivire, contact cu mișcare | Proiect, geometrie, limitare de energie, apărători, interblocări, moduri de lucru, funcții de securitate, descriere clară a riscului care nu a putut fi eliminat. | Instruire, supraveghere, menținerea apărătorilor și interblocărilor, proceduri pentru scoaterea blocajelor, interdicția de a ocoli măsurile de protecție. |
| Curățare, reglare, mentenanță | Includerea acestor operații în evaluarea riscului, limitarea accesului în zone periculoase, moduri de service, puncte de reglare în afara zonei periculoase, acces sigur. | Organizarea lucrărilor, calificarea personalului, LOTO, plan de mentenanță, verificarea stării măsurilor de protecție. |
| Acces la înălțime, platforme, treceri | Evaluarea frecvenței și previzibilității operației; proiectarea sau definirea cerințelor pentru un mijloc fix de acces, dacă este necesar. | Menținerea acceselor, ordine, autorizarea personalului potrivit, aplicarea procedurilor și a mijloacelor indicate de producător. |
| Securitate cibernetică și acces la distanță | Arhitectură sigură, limitarea accesului, controlul conturilor, descrierea interfețelor, reguli de actualizare, protecția datelor și software-ului relevante pentru securitate. | Segmentarea rețelei, gestionarea conturilor, proceduri de schimbare, copii de siguranță, supravegherea accesului de service. |
| Informații în manual | Avertismente concrete, descrierea riscului, condiții de utilizare sigură, cerințe pentru utilizator, interdicții și limite de utilizare. | Aplicarea informațiilor în practică: instruiri, instrucțiuni la post, supraveghere, impunerea regulilor. |
Aici este miezul.
Riscul rezidual poate fi comun. Dar comun nu înseamnă neclar. Comun nu înseamnă: „producătorul a scris, utilizatorul răspunde”. Comun nu înseamnă: „departamentul de securitate face o procedură, deci proiectul e în regulă”.
Comun înseamnă ceva mult mai exigent: producătorul arată ce a făcut pe partea mașinii, iar utilizatorul preia ceea ce depinde efectiv de organizare, supraveghere, mentenanță și condiții de exploatare.
Într-o evaluare bună a riscului, poziția „risc rezidual” nu este ultima scândură de salvare. Este finalul unui raționament onest: aici a fost pericolul, asta am făcut în proiect, asta am făcut tehnic, asta nu se mai poate elimina rezonabil fără să creăm o problemă mai mare, iar acestea sunt informațiile și cerințele transmise utilizatorului.
Abia atunci „risc rezidual” sună ca o concluzie din evaluarea riscului. Nu ca o pătură aruncată peste decizii lipsă.
Tabelul ajută, dar nu înlocuiește munca reală
Împărțirea responsabilității arată bine doar când coboară din formule generale la operația reală de lângă mașină. Este ușor să scrii: „utilizatorul asigură organizarea muncii”, „utilizatorul folosește mijloace de acces adecvate”, „utilizatorul securizează rețeaua”. Este mai greu să verifici dacă utilizatorul a primit o mașină care poate fi exploatată, curățată, reglată și întreținută în siguranță.
În practică, la recepție sau audit, întrebările ar trebui să arate așa:
Să luăm platforma de service.
Pe desen totul pare corect. Structură metalică, grătar, balustradă, acces. Acces prevăzut? Prevăzut. Subiect închis? Nu neapărat.
Prima întrebare este: pentru ce muncă servește platforma?
Dacă un lucrător urcă o dată pe an ca să citească un indicator sau să verifice o plăcuță, avem o situație. Dacă de pe aceeași platformă trebuie schimbate regulat un motor, un reductor, un cilindru, o rolă, un cap, un filtru sau alt element de uzură, nu mai vorbim doar despre „acces”. Vorbim despre un post de lucru pentru service.
Și atunci o frază generală în manual nu ajunge.
Cine urcă acolo? Un om sau doi oameni de la mentenanță? Ce duc cu ei: trusă de scule, cheie dinamometrică, chingi, piesă de schimb? Ce demontează: un capac de 20 kg, un motoreductor de 80 kg, un reductor de 150 kg sau un motor de 500 kg? Unde pun elementul după desfacere? Pe platformă? Pe cărucior? Într-un dispozitiv de ridicare? Există poartă de transfer, punct de suspendare, palan, traseu de extragere și spațiu de lucru pentru două persoane? Sarcina platformei include doar omul sau și sculele, piesele, încărcările locale și forțele care apar la demontare?
Acestea sunt întrebări de hală, nu de prezentare.
Dacă manualul spune că un motor de 500 kg se schimbă de pe platformă, platforma trebuie să corespundă acelei lucrări. Nu muncii imaginare „operator cu o cheie”, ci sarcinii reale: doi lucrători, scule, element demontat, manevrare, protecție împotriva căderii, transportul piesei și coborârea ei în siguranță la pardoseală.
Altfel avem doar aparența unei soluții. Platforma există, dar nu rezolvă lucrarea. Accesul există, dar nu asigură mentenanța sigură. Manualul descrie operația, dar proiectul nu oferă condițiile de executare.
Și întrebarea importantă revine: este acesta risc rezidual?
Dacă producătorul a prevăzut o operație regulată de service, dar nu a prevăzut metoda de executare sigură, este greu să vorbim despre risc rezidual descris corect. Este mai degrabă o concepție de mentenanță neterminată. Utilizatorul răspunde de organizarea muncii, calificarea oamenilor, LOTO, supraveghere și menținerea platformei în stare bună. Dar nu ar trebui să descopere după recepție că pentru schimbarea unui ansamblu greu are nevoie de improvizație.
Foarte asemănător stă treaba cu securitatea cibernetică.
Mașina vine cu un cont de service. Utilizator: admin. Parolă: admin. Accesul la distanță funcționează, pentru că „service-ul trebuie să se conecteze cumva”. Documentația spune că utilizatorul trebuie să securizeze rețeaua. IT primește subiectul după punerea în funcțiune. Mentenanța nu vrea să blocheze accesul, pentru că mașina trebuie să producă. Service-ul vrea reacție rapidă. Fiecare parte are argumente.
Dar întrebarea este simplă: producătorul a livrat mașina într-o configurație implicită sigură?
Nu este vorba ca producătorul să răspundă pentru întreaga rețea a fabricii. Ar fi rupt de realitate. Utilizatorul trebuie să gestioneze accesurile, segmentarea, copiile de siguranță, procedurile de schimbare, conturile, actualizările și supravegherea conexiunilor de service.
Dar producătorul nu poate livra o mașină cu o slăbiciune evidentă și să spună: „asta e treaba voastră, IT”. Dacă accesul la distanță, conturile, software-ul, configurarea HMI sau datele pot influența comportamentul mașinii, acest strat aparține evaluării de securitate. La fel ca o apărătoare, o interblocare sau un mod de service.
Parola admin/admin nu este un detaliu. Este echivalentul digital al unei platforme care există pe hârtie, dar nu are capacitatea pentru munca reală. În documentație apare ceva. În realitate, utilizatorul primește o problemă de reparat.
De aceea, o informație bună pentru utilizator nu sună așa: „securizați rețeaua”. O informație bună spune ce conturi există, ce roluri de acces sunt prevăzute, ce trebuie schimbat la prima pornire, cum funcționează service-ul la distanță, cine poate actualiza software-ul, ce elemente de configurare au importanță pentru securitate, cum se restaurează setările și ce condiții de rețea a presupus producătorul pentru funcționarea sigură a mașinii.
Abia atunci poți discuta cinstit despre responsabilitatea utilizatorului. Atunci utilizatorul știe ce preia. Atunci riscul rezidual chiar stă la interfața dintre mașină și organizarea muncii.
Fără asta avem doar transfer de problemă.
De aceea, noțiunea de risc rezidual nu trebuie folosită ușor. Ea nu are rolul de a închide întrebările incomode. Are rolul de a arăta ce rămâne pe partea producătorului, ce trece la utilizator și ce condiții trebuie respectate de ambele părți pentru ca mașina să rămână sigură în exploatarea normală.
Mașina nu se termină la declarația de conformitate. Ea lucrează mai departe: la schimbări de format, curățări, mentenanță, avarii, actualizări, accesări de service și schimbarea ansamblurilor grele.
Dacă proiectul nu prevede aceste situații, manualul nu le repară.