Det finns en zon dit operatören kan nå med handen. Det finns en rörlig del som kan fånga en hand. Det finns en uppgift som någon faktiskt kommer att göra: rensa ett stopp, rengöra, ställa in, kontrollera efter ett stopp.
Och sedan dyker raden upp i tabellen:
| Risk | Åtgärd | Information till användaren |
|---|---|---|
| kvarstående risk | information i bruksanvisningen | ”stick inte in händerna” |
| Har tillverkaren kontrollerat om faran kan elimineras genom konstruktionen? | Vi följer logiken i ISO 12100. | Varningen i bruksanvisningen kommer för tidigt. |
| Har tekniska skyddsåtgärder övervägts: skydd, förreglingar, låsning, driftlägen, hålldonsstyrning, begränsning av energi, hastighet eller kraft? | Det går att motivera varför en del av risken fortfarande kvarstår. | Risken är sannolikt inte ”kvarstående”, utan otillräckligt hanterad. |
| Har tillverkaren visat varför en viss åtgärd inte användes? | Dokumentationen visar ett ingenjörsmässigt beslut. | Vi har en lucka. Och en lucka blir inte en kvarstående risk bara för att någon kallar den det. |
| Är informationen till användaren konkret? | Användaren vet vad som ska göras: när, hur, med vad och under vilka förhållanden. | ”Iaktta försiktighet” eller ”stick inte in händerna” räcker inte. |
| Har användaren verklig möjlighet att påverka den aktuella åtgärden? | Det kan vara ett område på användarens sida: utbildning, låsning och märkning, tillsyn, procedur, underhåll, personlig skyddsutrustning, arbetsorganisation. | Man får inte låtsas att användaren tar över något som denne inte kan kontrollera effektivt. |
| Går åtgärden på användarens sida att upprätthålla i praktiken? | Det går att tala om gemensamt ansvar. | Om den kräver ständig ”övervakning av människor”, och en teknisk åtgärd hade kunnat användas, går problemet tillbaka till tillverkaren. |
| Har man efter att skyddsåtgärden införts kontrollerat om en ny risk har uppstått? | Riskbedömningen har en sluten återkopplingsslinga. | Processen är inte avslutad. ISO/TR 14121-2 påminner om att man efter införandet av åtgärder måste kontrollera på nytt om risken verkligen har minskat och om nya faror har uppstått. |
På papper ser det prydligt ut. Faran är beskriven. Risken har fått ett namn. Bruksanvisningen är kompletterad. Problemet är bara att en sådan rad i maskinsäkerhet ofta inte reder ut frågan. Den lägger ett lock över den.
För kvarstående risk är inte en säck för allt som inte löstes i konstruktionen. Det är inte heller ett smart sätt att flytta ansvar från tillverkare till användare. Det är den risk som finns kvar efter verkligt konstruktionsarbete: efter att man har prövat om faran kan byggas bort, efter att tekniska skyddsåtgärder har valts, och efter att man har bedömt om lösningarna faktiskt minskar människans exponering.
Först då kan man ärligt säga: här återstår något, och användaren måste förstå det.
I praktiken suddas gränsen ofta ut. Tillverkaren säger: ”vi skrev det i bruksanvisningen”. Integratören säger: ”användaren får utbilda personalen”. Användaren hör: ”det där är er arbetsorganisation”. Men ISO 12100 och maskinförordningen (EU) 2023/1230 lägger ansvaret i en tydlig ordning: först konstruktion, sedan skyddsåtgärder, sist information.
Samma fråga kommer tillbaka i nätanslutna maskiner. Fjärråtkomst, servicekonton, styrsystemskonfiguration, uppdateringar och data är inte bara en IT-fråga hos användaren om de kan påverka maskinens säkerhet. Det räcker inte att skriva: ”användaren ska säkra nätverket”. Tillverkaren måste leverera en maskin där sådana risker är med från början.
Frågan är alltså inte om varningen finns i bruksanvisningen. Frågan är vad tillverkaren gjorde innan varningen hamnade där.
Varför kvarstående risk inte är en fri ruta i tabellen
I ISO 12100 finns en figur som är värd att stanna vid. Inte för att den är snygg på utbildningsbilder, utan för att den gör ansvarsfördelningen obekvämt tydlig. Figur 2 visar riskreducering ur konstruktörens perspektiv: först risken kopplad till maskinen, sedan konstruktörens insats, därefter den kvarstående risken efter konstruktörens skyddsåtgärder, sedan användarens insats och till sist den risk som återstår efter alla skyddsåtgärder.
Det är inte dekoration. Det är en gräns.
På konstruktörens sida finns inneboende säker konstruktion, tekniska skyddsåtgärder, kompletterande skyddsåtgärder och information för användning. På användarens sida finns arbetsorganisation, rutiner, tillsyn, tillståndssystem, kompletterande tekniska lösningar, personlig skyddsutrustning och utbildning.
Det betyder att kvarstående risk faktiskt ligger i skarven mellan tillverkare och användare. Men inte på sättet att alla kan kasta in vad som passar. Tillverkaren kan inte skjuta över en fara som borde ha lösts i konstruktionen. Användaren kan inte låtsas att bruksanvisning och utbildning saknar betydelse om tillverkaren seriöst har beskrivit risker som inte gick att ta bort genom konstruktion och skydd.
Det är därför begreppet blir farligt när det används slarvigt. Det låter tekniskt. Det låter färdigt. Det låter som om någon har tänkt. Men ibland betyder det bara att ingen tog beslutet.
Någon ser en klämpunkt. Någon vet att operatören kommer att rensa stopp. Någon vet att handen måste nära en rörlig del vid rengöring. Ändå står det i riskbedömningen: ”kvarstående risk – stick inte in händerna”. Den raden bevisar inte att risken är kvarstående. Den bevisar bara att någon kallade problemet det.
Ska begreppet användas ärligt måste vägen dit synas. Vad gjordes i konstruktionen? Kunde geometri, avstånd, energi, hastighet, åtkomst eller inställningssätt ändras? Vilka skydd, förreglingar, skyddslåsningar, driftlägen eller säkerhetsfunktioner prövades? Varför måste en del av risken faktiskt kommuniceras till användaren?
Först då flyttar frågan från ”vi skrev det i bruksanvisningen” till riskbedömning enligt ISO 12100. Standarden säger rakt ut att skyddsåtgärder på konstruktionsstadiet ska föredras framför åtgärder som bygger på användarens organisation, eftersom de normalt är mer effektiva. ISO/TR 14121-2 förstärker samma sak: information till användaren ska leda till korrekt och säker användning och varna för risker som finns kvar efter riskreducering genom konstruktion och skydd. LOTO, utbildning och rutiner har sin plats. De ska inte vara livbojen för konstruktion som aldrig blev färdig.
För en bredare metodik, se även vår genomgång av riskbedömning av maskiner.
Tre lägen där kvarstående risk blir ett bekvämt alibi
1. Rörliga delar: ”stick inte in händerna” räcker inte
Ta en enkel situation. Maskinen har en rörlig del. Operatören kan nå in vid rensning av stopp, rengöring, manuell matning av detalj eller inställning. I riskbedömningen finns faran: indragning, klämning, skärning eller krossning. I kolumnen för skyddsåtgärder står: ”varning i bruksanvisningen”. Och i bruksanvisningen står: ”stick inte in händerna i maskinens arbetsområde”.
Låter bekant?
Vid första anblick är dokumentet ifyllt. Faran finns. Risken finns. Varningen finns. Men maskinsäkerhet handlar inte om att varje tom ruta i tabellen har fått text. Den viktiga frågan är: vad hände före varningen?
Prövade någon att eliminera klämpunkten genom annan geometri? Begränsades kraft, hastighet eller rörelseenergi? Kunde inställningen flyttas utanför riskområdet? Fanns ett inställningsläge med reducerad risk? Valdes skydd, förregling, skyddslåsning, hålldonsmanöver eller aktiveringsdon? Kontrollerade någon hur operatören faktiskt kommer att rensa stoppet – inte hur det borde göras i en perfekt bruksanvisning?
Om svaret är: ”nej, men vi skrev att man inte ska stoppa in handen”, då talar vi inte om en seriöst hanterad kvarstående risk. Då talar vi om en risk som fick en bekväm etikett.
2. Plattformar och åtkomst: service är inte improvisation
Nästa exempel ser ofta mindre dramatiskt ut, men är lika praktiskt. En maskin har ett filter som ska bytas varje vecka. En givare ska rengöras vid varje formatbyte. En smörjpunkt sitter två meter över golvet. En komponent ska periodiskt tas ut ur maskinens inre. Tillverkaren skriver i bruksanvisningen: ”arbetet ska utföras enligt gällande arbetsmiljökrav och med lämplig åtkomstutrustning”.
Jaha. Vilken åtkomstutrustning?
En stege från hallen? En serviceplattform som underhåll rullar dit? Klättring på maskinramen? Stå på en aluminiumprofil för att ”så gör vi alltid”? Ska operatören hålla i ett skydd med ena handen, lossa en detalj med den andra och med en tredje hand – som inte finns – säkra verktyget?
Här möter teorin verkstadsgolvet. Om tillverkaren förutser en återkommande service-, rengörings-, justerings- eller underhållsuppgift måste frågan ställas redan i projektet: hur ska människan ta sig dit, var ska hon stå och hur ska arbetet göras utan att uppfinna en egen metod?
Alla arbeten på höjd vid en maskin betyder inte automatiskt att tillverkaren måste bygga en stor plattform. Men det går inte heller att låtsas att åtkomst till en ofta använd servicepunkt alltid är användarens problem. ISO 12100 pekar på att rutinmässig betjäning, inställning och underhåll bör kunna göras från golvnivå om det är möjligt. Om det inte är möjligt måste säker åtkomst förutses: serviceplattformar, trappor, gångvägar, räcken eller andra lösningar. Här kommer ISO 14122 in med fasta tillträdesvägar till maskiner.
Och då blir det intressant. Om det finns en teknisk lösning som gör återkommande byte, justering eller underhåll säkert, varför antar vi direkt att användaren ska lösa det organisatoriskt? Varför fanns inte en fast plattform i projektet? Varför kräver bruksanvisningen en veckovis uppgift på en svåråtkomlig plats, men konstruktionen ger ingen säker arbetsplats?
Det är inga akademiska frågor. Det är frågor vid mottagning, vid revision, på golvet när maskinen ska gå igen måndag morgon.
3. Fjärråtkomst och cybersäkerhet: nätet är inte utanför maskinen
Det tredje exemplet ser modernare ut, men mekanismen är densamma. Maskinen har fjärråtkomst. Den har styrsystem, HMI, industridator, servicekonton, uppdateringsmöjlighet, dataöverföring och kanske koppling till ett överordnat system. Tillverkaren säger: ”användaren måste säkra nätverket”. IT får frågan efter driftsättning. Underhåll vill att service snabbt ska kunna koppla upp sig. Produktionen vill att maskinen ska producera. Alla har rimliga skäl.
Men ställ den enkla frågan: kan ett intrång eller en felaktig ändring i den här nivån påverka maskinens säkerhet?
Om fjärråtkomst kan ändra parametrar, driftlägen, styrlogik, HMI-konfiguration eller data som är viktiga för säkerhetsfunktioner, då är det inte bara en fråga för användarens brandvägg. Om maskinen levereras med standardlösenord, otydliga konton, öppen fjärråtkomst eller oklar uppdateringsrutin är det svårt att hävda att hela cybersäkerhetsrisken ligger hos användaren.
Användaren har naturligtvis ansvar. Nätverk, konton, behörigheter, säkerhetskopiering, uppdateringar, segmentering och ändringsrutiner måste styras. Men tillverkaren kan inte leverera en maskin i läget ”ni får säkra den själva” och kalla det kvarstående risk. Särskilt inte när maskinförordningen (EU) 2023/1230 tydligare kopplar cybersäkerhet till maskinsäkerhet när påverkan på hårdvara, programvara eller data kan leda till en farlig situation.
Samma logik gäller här: först konstruktion, sedan tekniska skyddsåtgärder, sist information till användaren. Inte tvärtom.
När är kvarstående risk faktiskt kvarstående?
Efter de här exemplen syns kärnan: inte varje risk som finns kvar vid maskinen förtjänar namnet kvarstående risk.
Vad betyder egentligen ”finns kvar”?
Finns den kvar efter ändrad konstruktion? Efter skydd, förregling, skyddslåsning eller säkert inställningsläge? Efter att smörjpunkten flyttats ut ur riskområdet? Efter att fast åtkomst till underhållspunkten projekterats? Eller finns den kvar för att ingen ville röra frågan och det var enklast att skriva en varning?
Det är två helt olika saker.
ISO 12100 delar upp detta noggrant. Det finns risk som återstår efter konstruktörens åtgärder, och risk som återstår efter alla åtgärder – även användarens. Mellan dem ligger området där tillverkarens information måste tas om hand av användarens arbetsorganisation. Därför får ”kvarstående risk” inte vara en lös rubrik. Den ska vara slutsatsen efter utfört konstruktionsarbete.
Det enklaste filtret ser ut så här:
| Fråga | Om svaret är ja | Om svaret är nej |
|---|---|---|
| Är faran konkret beskriven: var, när, vem exponeras och vid vilken uppgift? | Då kan man gå vidare och bedöma om risken är kvarstående. | Då är det ännu inte en riskbedömning, bara en allmän beskrivning. |
| Har tillverkaren kontrollerat om faran kan elimineras genom konstruktion? | Arbetet följer logiken i ISO 12100. | Varningen i bruksanvisningen kommer för tidigt. |
| Har tekniska skyddsåtgärder prövats: skydd, förreglingar, skyddslåsning, driftlägen, hålldonsmanöver, begränsning av energi, hastighet eller kraft? | Då kan man motivera varför en del av risken fortfarande finns kvar. | Risken är sannolikt inte kvarstående, utan otillräckligt bearbetad. |
| Har tillverkaren visat varför en viss åtgärd inte används? | Dokumentationen visar ett ingenjörsbeslut. | Det finns ett hål. Ett hål blir inte kvarstående risk bara för att någon kallar det så. |
| Är informationen till användaren konkret? | Användaren vet vad som ska göras: när, hur, med vad och under vilka villkor. | ”Var försiktig” eller ”stick inte in händerna” räcker inte. |
Den här tabellen är inget formellt algoritmschema. Den är ett filter för sunt tekniskt omdöme. Om det enda som finns kvar efter filtret är ”operatören ska vara försiktig”, då är man för tidigt ute. Då har man ännu inte nått kvarstående risk.
Dela också upp ansvaret tydligt:
Här ligger kärnan. Kvarstående risk kan vara gemensam. Men gemensam betyder inte otydlig. Gemensam betyder inte: ”tillverkaren skrev, användaren ansvarar”. Gemensam betyder inte: ”arbetsmiljöfunktionen gör en rutin, alltså är konstruktionen okej”.
Gemensam betyder något mer krävande: tillverkaren visar vad som gjorts på maskinsidan, och användaren tar över det som faktiskt beror på organisation, tillsyn, underhåll och driftförhållanden.
Tabellen hjälper – men ersätter inte verkligt ingenjörsarbete
En ansvarstabell ser bra ut först när den lämnar de allmänna orden och landar i den faktiska uppgiften vid maskinen. Det är lätt att skriva ”användaren säkerställer arbetsorganisation”, ”användaren använder lämplig åtkomstutrustning” eller ”användaren säkrar nätverket”. Det är svårare att kontrollera om användaren faktiskt fick en maskin som går att köra, rengöra, serva och underhålla säkert.
Ta en serviceplattform.
På ritningen ser allt rätt ut. Stålkonstruktion, gallerdurk, räcke, tillträde. Åtkomst finns. Är frågan stängd? Inte nödvändigtvis.
Först måste man fråga: vilket arbete ska plattformen bära?
Om en person går upp en gång per år för att läsa av en skylt är det en sak. Om samma plattform ska användas regelbundet för att byta motor, växel, cylinder, rulle, huvud, filter eller annan slitdel är det något helt annat. Då pratar vi inte bara åtkomst. Då pratar vi arbetsplats för service.
Då räcker inte en allmän formulering i bruksanvisningen.
Vem ska upp? En person eller två från underhåll? Vad tar de med sig: verktygslåda, momentnyckel, lyftstroppar, reservdel? Vad ska demonteras: en lucka på 20 kg, en växelmotor på 80 kg, en växel på 150 kg eller en motor på 500 kg? Var ska delen läggas när den lossats? På plattformen? På en vagn? I ett lyft? Finns transportgrind, lyftpunkt, telfer, utdragsväg och arbetsutrymme för två personer? Omfattar plattformens bärförmåga bara en människa, eller även verktyg, delar, punktlaster och krafter vid demontering?
Det här är frågor från hallen. Inte från en presentationsbild.
Om bruksanvisningen säger att en motor på 500 kg byts från plattformen, måste plattformen vara dimensionerad och utformad för just det arbetet. Inte för ”operatör med nyckel”, utan för den verkliga uppgiften: två personer, verktyg, demonterad komponent, manöverutrymme, fallskydd, transport av delen och säker nedtagning till golvnivå.
Annars har man bara en skenlösning. Plattformen finns, men den löser inte uppgiften. Åtkomsten finns, men den ger inte säkert underhåll. Bruksanvisningen beskriver arbetet, men konstruktionen ger inte villkoren för att utföra det.
Är det kvarstående risk? Om tillverkaren har förutsett en återkommande serviceuppgift men inte förutsett hur den ska utföras säkert, är svaret ofta nej. Det är snarare ett ofärdigt servicekoncept. Användaren ansvarar för arbetsorganisation, kompetens, låsning och märkning, tillsyn och att plattformen hålls i skick. Men användaren ska inte först efter mottagning upptäcka att byte av en tung enhet kräver improvisation.
Cybersäkerhet fungerar på samma sätt.
Maskinen kommer med ett servicekonto. Inloggning: administratör. Lösenord: administratör. Fjärråtkomst fungerar, för ”service måste ju kunna koppla upp sig”. Dokumentationen säger att användaren ska säkra nätverket. It får frågan efter driftsättning. Underhåll vill inte blockera serviceåtkomst. Produktionen vill köra. Alla trycker från sitt håll.
Men frågan är enkel: levererade tillverkaren maskinen i en säker standardkonfiguration?
Det handlar inte om att tillverkaren ska ansvara för hela användarens företagsnät. Det vore orealistiskt. Användaren måste hantera behörigheter, segmentering, säkerhetskopiering, ändringsrutiner, konton, uppdateringar och övervakning av serviceanslutningar.
Men tillverkaren kan inte lämna över en maskin med en uppenbar svaghet och säga: ”det där är it:s problem”. Om fjärråtkomst, konton, programvara, operatörspanelens konfiguration eller data kan påverka maskinens beteende, hör lagret hemma i säkerhetsbedömningen. Precis som skydd, förregling och serviceläge.
administratör/administratör är inte en detalj. Det är den digitala motsvarigheten till en plattform som visserligen finns, men inte bär den verkliga arbetsuppgiften. På papper finns något. I verkligheten får användaren ett problem att reparera.
Bra information till användaren låter därför inte: ”säkra nätverket”. Bra information säger vilka konton som finns, vilka roller som är avsedda, vad som ska ändras vid första driftsättning, hur fjärrservice fungerar, vem som får uppdatera programvara, vilka konfigurationsdelar som påverkar säkerhet, hur inställningar återställs och vilka nätverksvillkor tillverkaren har antagit för säker drift.
Först då kan man tala ärligt om användarens ansvar. Då vet användaren vad som tas över. Då ligger risken faktiskt i skarven mellan maskin och arbetsorganisation.
Utan det är det bara problemförflyttning.
Bruksanvisningen lagar inte konstruktionen
Begreppet kvarstående risk ska inte användas lätt. Det ska inte stänga obekväma frågor. Det ska visa vad som återstår på maskinsidan, vad som går över till användaren och vilka villkor båda parter måste uppfylla för att maskinen ska vara säker under normal drift.
För maskinen slutar inte vid CE-märkningen eller vid överlämningen. Den fortsätter arbeta vid omställningar, rengöring, underhåll, fel, uppdateringar, serviceåtkomst och byte av tunga enheter.
”Stick inte in händerna”, ”använd lämplig plattform” och ”säkra nätverket” kan vara viktiga upplysningar. De kan vara en del av det slutliga säkerhetspaketet. Men de får inte låtsas att de svårare frågorna redan är lösta.
Om tillverkaren har gjort sitt arbete måste användaren ta informationen på allvar: utbilda, underhålla skyddsåtgärder, organisera arbetet och stoppa genvägar. Men om tillverkaren inte har gjort arbetet, då hjälper inte vackra ord i bruksanvisningen.
Bruksanvisningen lagar inte konstruktionen.