Трудова злополука на производствена линия: как да овладеете кризата и да не утежните отговорността след модификация на машина

Инцидентът на производствена линия много бързо престава да бъде само събитие, свързано с безопасността и здравето при работа. На практика той едновременно се превръща в проверка за техническата зрялост на предприятието, качеството на управлението на промените и пълнотата на документацията на машината. По-нататъшният ход на случая рядко се определя от самия момент на нараняването. Много по-често решаващо се оказва какво предприятието може да докаже няколко часа и няколко дни по-късно: какво е било състоянието на машината, кой и на какво основание е въвеждал промени, дали са запазени техническите следи и дали документите действително описват системата, работила в момента на събитието.

Това има практическо значение и когато преди това е била модифицирана машина или линия. След инцидента отново възниква въпросът дали това все още е било ремонт или експлоатационна корекция, или вече съществена модификация, която измества ползвателя към отговорност, присъща на производителя. От същата гледна точка трябва да се оценят и одитите за минималните изисквания, ЕС декларациите за съответствие, инструкциите за експлоатация и пълната техническа документация, ако предприятието фактически е оформило техническото решение. Затова процедурата за управление при кризи не може да приключва с обезопасяването на мястото на събитието. Тя трябва да доведе до един отговор: дали организацията държи под контрол техническото състояние, документацията и решенията, довели до работата на машината в дадената конфигурация.

Първите часове след събитието

В първите часове след инцидента най-важно е ситуацията да бъде правилно разпозната. Предприятието вече не се сблъсква само с повреда или единствено с разследване на трудова злополука. То едновременно е изправено пред техническа, доказателствена и управленска криза. Това разграничение подрежда приоритетите: първо безопасността на хората и стабилизирането на мястото на събитието, след това защитата на техническите следи и данните и едва накрая решенията за възстановяване на работата.

На този етап най-много щети причиняват действията по инерция. Някой премества елементи, нулира системата за управление, изтрива аларми, пуска машината „само за проба“ или се опитва да възстанови хода на събитието по спомените на свидетелите. Междувременно най-ценната информация все още е записана в контролера, операторския панел, регистрите на алармите, системата за видеонаблюдение, камерите и историята на влизанията в зоната. По-късните установявания все още могат да бъдат коригирани. Загубените технически следи обикновено вече не могат да бъдат възстановени.

Затова в първата фаза трябва да се действа не като екип, който отстранява неизправност, а като екип, който организира техническо разследване. На практика това означава ясно разпределяне на ролите и спиране на хаоса при вземането на решения. Един човек трябва да отговаря за безопасността на мястото на събитието и контрола на достъпа, друг за последователния обмен на информация, трети за контакта със сервиза на доставчика, а още един за обезпечаването на документацията и изготвянето на копия на данните от системите за управление и надзор. Без това лесно се стига до ситуация, в която сервизът се свързва дистанционно с машината и презаписва историята на грешките, поддръжката възстановява захранването, а ръководството на производството паралелно настоява за частично подновяване на работата.

Първоначалното състояние има най-голяма стойност именно преди работното място да бъде „подредено“. Затова машината трябва да се разглежда не само през призмата на повредата, но и през реалната конфигурация на безопасност и начина на работа. Значение имат положението и състоянието на предпазните ограждения, работният режим, зададен на превключвателите, евентуалното заобикаляне на защитни функции, състоянието на сензорите и изпълнителните елементи, параметрите на настройките, историята на промените в програмата на контролера, записите в системата за поддръжка и последните сервизни намеси. Показанията на свидетелите са необходими, но имат спомагателен характер: след събитието паметта често е фрагментарна и изкривена от стреса.

От оперативна гледна точка отговорът на въпроса доколко може да се намесва в машината след събитието е прост: само в обхвата, необходим за спасяване на хора, отстраняване на непосредствената опасност и обезопасяване на мястото, като всяка промяна се документира. Всяко пробно пускане, демонтаж на предпазно ограждение, изтриване на аларма или подмяна на елемент преди фиксиране на първоначалното състояние трябва да се разглежда като решение с висок риск.

• да се обезопасят хората и да се изолира зоната на събитието, без да се възстановява работата на машината,
• да се фиксира първоначалното състояние: снимки, положения на елементите, показания на панелите, аларми и съобщения,
• да се направят копия на данните и да се спре дистанционният и локалният достъп, който би могъл да презапише историята,
• да се определи един отговорен за решенията относно спиране или частично възобновяване на работата.

Едва след такова подреждане на фактите може да се премине към въпросите за съответствието и отговорността. Тогава може надеждно да се оцени дали машината е била използвана по предназначение, дали след модификациите е запазено изискваното ниво на безопасност, дали съществуват актуални доказателства за оценка на съответствието, пълна техническа документация и експлоатационни документи, съответстващи на действителното състояние. Това е и моментът, в който трябва да се прецени дали предприятието остава единствено ползвател, или поради обхвата на промените вече е влязло в ролята на субект, отговорен за техническото решение.

Къде всъщност нарастват разходите и отговорността

След инцидент тежестта на риска често вече не произтича от самото събитие, а от историята на предходните технически решения. На практика най-големите проблеми рядко се причиняват от машина, работеща във фабричното си състояние. Много по-често източник на спора стават добавен подавач, сменен захват, променена логика на управление, заобиколена защита, интеграция с друга работна станция или промяна в режима на работа, въведена под натиск за производителност. От гледна точка на производството подобни намеси може да изглеждат рационални. След инцидента обаче значение има не намерението, а дали организацията може да докаже проектната основа на промяната, хода на анализа на риска на машината, избора на защитни мерки и кой е допуснал решението до експлоатация.

Именно тук възниква въпросът за съществената модификация. Не става дума за това кой физически е ремонтирал или преработвал машината. Съществено е дали обхватът на промените не е бил толкова голям, че предприятието да е престанало да действа единствено като ползвател и да е поело задълженията, присъщи на субекта, отговорен за техническото решение. Тази граница най-лесно се пропуска, когато промените са разпределени между поддръжката, автоматизацията, инженерството на процеса и производството, а всяка от тях поотделно изглежда като дребна корекция. Характерът на промяната обаче не се определя от вътрешното ѝ наименование, а от реалното ѝ въздействие върху функцията на машината, начина на управление, опасните зони, работната последователност, условията за човешка намеса и предвидимите грешки при работа.

На практика този механизъм често се повтаря. За да се съкратят престои, локално се променя последователността на движенията на цилиндъра, добавя се датчик за наличие на детайл и се допуска работа с отворена защита в режим на настройка, защото операторът трябва да вижда процеса. След известно време решението се превръща в ежедневна практика. Когато настъпи инцидент, никой не може еднозначно да посочи кой е одобрил промяната, какви предпоставки за безопасност са приети, дали е проверено действието на защитните функции след модификацията, дали персоналът е обучен и дали инструкциите съответстват на реалното състояние. Тогава разходът нараства рязко не само защото линията е спряна, а и защото предприятието губи последователната основа за техническа защита.

В такива случаи значение имат не устните декларации, а следите от управлението на промяната. Ако те липсват, всеки следващ отговор става ситуационен и лесно оспорим.

• заявка за промяна с описание на целта, обхвата и въздействието върху безопасността,
• технически одобрения и посочване на отговорността за допускане до експлоатация,
• резултати от изпитвания, приемания и проверки на защитните мерки,
• актуализации на инструкциите, процедурите за блокиране на енергията и потвържденията за обучения.

Втората ос на риска засяга връзката между минималните изисквания за използваните машини и задълженията, които могат да възникнат след преустройство, интеграция или повторно пускане в експлоатация в променена конфигурация. Сам по себе си аргументът, че машината е работила години наред, не замества доказателствата от одити на безопасността на машини и производствени линии, прегледи на съответствието и актуална оценка в каква конфигурация се експлоатира днес. Първоначалната ЕС декларация за съответствие на производителя може все още да има значение, но не дава автоматично отговор на въпроса дали след преустройство на линията или промяна в логиката на управление все още описва реалното състояние. Именно затова след инцидент трябва точно да се установи дали става дума за ремонт, или за съществена модификация на машината, както и дали на анализ подлежи отделна машина, или линия като съвкупност от машини.

Решения, които внасят ред в ситуацията

След овладяване на събитието не бива да се започва с въпроса колко бързо да се възобнови производството. Първо трябва да се установи по каква логика ще се вземат следващите решения. На практика това означава паралелен преглед на три нива: реалното техническо състояние на машината, пълнотата и съгласуваността на документите и историята на конструктивните, управляващите и организационните промени. Едва такава рамка дава основа за надеждна оценка на риска.

Ако липсва дори едно от тези нива, екипът вижда само част от картината. Самата повреда все още не обяснява дали е отказало техническото решение, начинът на използване или предходна модификация, чиито последици никой не е оценил формално. По същата причина решението за спиране невинаги трябва да се ограничава до едно работно място. Ако идентични защитни мерки, същата система за управление или аналогична промяна се срещат и на други места по линията, обхватът на спирането трябва да се определи по-широко, преди да настъпи вторично събитие.

На управленско ниво трябва също да се разграничат въпросите за експлоатацията от въпросите за съответствието. Най-напред следва да се установи в каква роля организацията се явява спрямо машината или съвкупността от машини. Ако остава ползвател, тя трябва да докаже най-малко, че разполага с документите, доставени с машината, както и с доказателства за безопасна експлоатация в актуалната работна конфигурация. Ако обаче обхватът на преустройството, интеграцията или промяната в логиката на действие я доближава до фактически производител, очакваното ниво на обосновка нараства осезаемо. Тогава е необходима по-пълна техническа документация, която обяснява приетите решения за безопасност, избора на защитни мерки, резултатите от изпитванията и основата на приетата оценка на риска.

Полезна е проста матрица за оценка на документите: документът съществува, актуален е, не съответства на действителното състояние на машината или липсва. Такова разделение бързо показва дали проблемът е формален, или означава загуба на контрол върху техническото решение. На практика трябва да се отговори на няколко основни въпроса: има ли ЕС декларация за съответствие и отнася ли се тя до текущата конфигурация, актуализирана ли е инструкцията за експлоатация след промените, налични ли са схеми, списъци на елементите за безопасност, протоколи от изпитвания, резултати от одити на минималните изисквания, записи от прегледи, процедури за блокиране на енергията и обучения. Липсата на един документ невинаги означава, че машината трябва трайно да бъде изведена от експлоатация, но едновременната липса на няколко ключови доказателства обикновено означава, че предприятието не е в състояние да защити нито начина на експлоатация, нито решението за повторно пускане.

• ЕС декларация за съответствие и инструкция за експлоатация — дали описват актуалното състояние на машината,
• схеми, анализ на риска, приемателни протоколи и протоколи от изпитвания — дали обосновават приложените защитни мерки,
• регистър на промените, резултати от одити, записи от прегледи и обучения — дали потвърждават безопасната експлоатация след модификациите.

Честа грешка е отстраняването на повредата да се приравнява с отстраняване на причината. Смяната на светлинна завеса, блокировка на предпазен кожух или модул за безопасност не решава проблема, ако не е ясно защо защитата е престанала да изпълнява функцията си или защо предприятието е допуснало работа при променени условия. Затова връщането към работа изисква не само ремонт, но и доказване, че са отстранени техническата и организационната причина и че приетият начин на използване съответства на актуалното състояние на машината, управлението и защитните средства.

В част от случаите е достатъчно да се подреди експлоатацията и да се проверят защитните мерки преди повторното пускане. В други ще е необходим по-широк преглед на целия комплект машини, външен одит или по-пълна оценка на съответствието, особено когато промените засягат функции за безопасност, взаимодействащи системи или съоръжения, подчинени на отделни технически режими, като например инсталации под налягане. От нормативна гледна точка тук най-важно е не да се умножават правните основания, а да има възможност да се докаже дължимата грижа при оценката на съответствието и експлоатацията на машината.

Как да не се върнете към същия инцидент

Най-ценният извод след инцидент рядко се отнася до една-единствена грешка на оператора. Обикновено той разкрива начина, по който организацията взема решения за технически, организационни и програмни промени. Ако влиянието на промяната върху безопасността се проверява едва след внедряването, следващото събитие не е задължително да се повтори на същата машина. То ще се появи на друго място по линията, при друг екип и под друго име на проекта.

Затова овладяването на кризата не се изчерпва с добавянето на една забрана в инструкцията. Става дума за преработване на правилата за вземане на решения: кой може да възложи промяна, кой определя влиянието ѝ върху защитните мерки, кой отговаря за оценката на риска и кой формално допуска машината до по-нататъшна употреба. Това е същността на управлението на промените. Именно тук се решава дали предприятието действително се учи след инцидента, или само възпроизвежда привидност на реакция.

На практика е необходим модел, който е прост, но се прилага без изключения. Всяка техническа промяна трябва да премине през една и съща последователност: определяне на влиянието върху безопасността, посочване на собственика на решението, определяне на необходимите тестове и приемания, актуализиране на документацията и формално разрешение за експлоатация. Не става дума за раздута бюрокрация, а за следа от взетите решения, която може да бъде възстановена след месец и след инцидент. Ако модификацията обхваща системата за управление, огражденията, опасната зона, логиката на взаимодействие между машините или начина, по който човекът се намесва в процеса, тя не бива да се третира като обикновен ремонт.

След инцидент веднага се вижда и дали безопасността на машините е била в одитите на минималните изисквания реален инструмент за контрол на условията на използване, или само архивен формуляр. Добрите одити позволяват бързо да се отговори какви предпазни ограждения и защитни устройства трябва да има на машината, какви отклонения са били установени по-рано, кой ги е одобрил и дали коригиращите действия са били приключени. Слабите завършват с общи формулировки без доказателствена стойност. Затова след инцидент си струва да се върнете не само към мястото на събитието, но и към сходни модификации в предприятието и да проверите дали същият механизъм за вземане на решения не се среща по-широко.

Отделен източник на проблеми остава взаимодействието с доставчици, интегратори и сервиз. Външната подкрепа може да е технически необходима, но не прехвърля навън отговорността за това, което в крайна сметка работи в предприятието. Ако организацията не може ясно да установи какво е било променено, кой е одобрил обхвата на работите, какви са били границите на отговорност на изпълнителя и дали документацията е предадена в използваем вид, след инцидент тя остава без собствена основа за вземане на решения. Тогава отново се връща най-трудният въпрос: дали ползвателят все още е само ползвател, или поради обхвата и начина на въведените промени се е превърнал в субект, отговорен за техническото решение, и следователно трябва да разполага не само с документите на ползвателя, а на практика и с по-пълна документация, съответстваща на приетите решения.

Крайният извод е ясен. След инцидент предимство не дава бързината на декларациите, а качеството на доказателствата и дисциплината при вземането на решения. Именно те определят дали кризата ще бъде ограничена до едно събитие и едно спиране, или ще се превърне в дългосрочен проблем с отговорността, спорове относно обхвата на промените и последващи престои. Организация, която може да покаже логическа последователност: промяна, квалифициране, изпитване, актуализиране на документацията, формално разрешение за експлоатация, има реална основа за защита. Организация, която разчита на паметта на хората и на предположението, че е ставало дума само за дребна модификация, се връща към същия тип инцидент дори когато той не се повтаря в напълно идентична форма.