Arbejdsulykke på produktionslinjen: sådan håndterer du krisen uden at øge ansvaret efter en maskinmodifikation

En ulykke på en produktionslinje ophører meget hurtigt med kun at være en arbejdsmiljøhændelse. I praksis bliver den samtidig en prøve på virksomhedens tekniske modenhed, kvaliteten af ændringsstyringen og maskinens dokumentationsgrundlag. Det videre forløb afgøres sjældent af selve skadestidspunktet. Langt oftere er det afgørende, hvad virksomheden kan dokumentere nogle timer og nogle dage senere: hvilken tilstand maskinen var i, hvem der foretog ændringer og på hvilket grundlag, om tekniske spor blev bevaret, og om dokumenterne faktisk beskriver det anlæg, der var i drift på hændelsestidspunktet.

Det har også praktisk betydning, når man tidligere har ændret en maskine eller en linje. Efter en ulykke vender spørgsmålet tilbage, om der stadig var tale om en reparation eller en driftsmæssig korrektion, eller om det allerede var en væsentlig ændring, som flytter brugeren i retning af det ansvar, der normalt påhviler producenten. Ud fra samme perspektiv skal man vurdere audits af minimumskrav, EU-overensstemmelseserklæringer, brugsanvisninger og den fulde tekniske dokumentation, hvis virksomheden reelt har udformet den tekniske løsning. Derfor må en krisestyringsprocedure ikke slutte med blot at sikre ulykkesstedet. Den skal føre frem til ét svar: om organisationen har styr på den tekniske tilstand, dokumentationen og de beslutninger, der førte til, at maskinen arbejdede i den pågældende konfiguration.

De første timer efter hændelsen

I de første timer efter ulykken er det vigtigste at identificere problemet korrekt. Virksomheden står ikke længere kun med en driftsfejl eller alene med en ulykkesundersøgelse. Den står samtidig i en teknisk, bevismæssig og ledelsesmæssig krise. Denne sondring hjælper med at prioritere: først menneskers sikkerhed og stabilisering af ulykkesstedet, derefter sikring af tekniske spor og data, og først til sidst beslutninger om genoptagelse af driften.

På dette stadium er det de spontane handlinger, der gør størst skade. Nogen flytter komponenter, nulstiller styresystemet, sletter alarmer, starter maskinen “bare for at teste” eller forsøger at rekonstruere hændelsesforløbet ud fra vidners hukommelse. Imens er de mest værdifulde oplysninger stadig lagret i PLC’en, operatørpanelet, alarmregistrene, visionsystemet, kameraerne og historikken over adgang til zonen. Senere konklusioner kan stadig korrigeres. Tabte tekniske spor kan som regel ikke genskabes.

Derfor skal man i den første fase ikke arbejde som et team, der udbedrer en fejl, men som et team, der strukturerer en teknisk undersøgelse. I praksis betyder det klare rollefordelinger og stop for beslutningskaos. Én person bør have ansvar for sikkerheden på ulykkesstedet og adgangskontrol, en anden for et sammenhængende informationsflow, en tredje for kontakten til leverandørens service, og en fjerde for at sikre dokumentationen samt tage kopier af data fra styresystemer og overvågningssystemer. Uden dette opstår der let en situation, hvor service kobler sig på maskinen eksternt og overskriver fejlhistorikken, vedligehold genindkobler forsyningen, mens produktionsledelsen samtidig presser på for en delvis genoptagelse af driften.

Den konstaterede tilstand har størst værdi netop før arbejdsstedet bliver ryddet op. Derfor skal man se på maskinen ikke kun ud fra skaden, men også ud fra den faktiske sikkerhedskonfiguration og arbejdsmåde. Placering og tilstand af afskærmninger, driftstilstand valgt på omskiftere, eventuelle omgåelser af beskyttelsesfunktioner, tilstanden af sensorer og aktuatorer, indstillingsparametre, historikken over ændringer i PLC-programmet, registreringer i vedligeholdelsessystemet samt de seneste serviceindgreb har betydning. Vidneforklaringer er nødvendige, men de har en støttende funktion: efter en hændelse er hukommelsen ofte fragmenteret og påvirket af stress.

Set fra et driftsmæssigt perspektiv er svaret på spørgsmålet om, hvor langt man kan gå i indgreb på maskinen efter hændelsen, enkelt: kun i det omfang det er nødvendigt for at redde mennesker, fjerne en umiddelbar fare og sikre stedet, samtidig med at enhver ændring dokumenteres. Enhver prøvekørsel, demontering af en afskærmning, nulstilling af en alarm eller udskiftning af en komponent, før den konstaterede tilstand er dokumenteret, skal betragtes som en beslutning med høj risiko.

• sikre mennesker og afspærre hændelsesområdet uden at genoptage maskinens drift,
• dokumentere den konstaterede tilstand: fotos, komponenternes placering, panelvisninger, alarmer og meddelelser,
• tage kopier af data og stoppe ekstern og lokal adgang, som kan overskrive historikken,
• udpege én beslutningsansvarlig for standsning eller delvis genoptagelse af driften.

Først når fakta er bragt i orden på denne måde, kan man gå videre til spørgsmål om overensstemmelse og ansvar. Først da kan man på et solidt grundlag vurdere, om maskinen blev brugt efter sit formål, om det krævede sikkerhedsniveau blev opretholdt efter ændringerne, og om der findes aktuelle beviser for overensstemmelsesvurdering, komplet teknisk dokumentation og brugsdokumenter, der svarer til den faktiske tilstand. Det er også på dette tidspunkt, at det skal afklares, om virksomheden fortsat udelukkende er bruger, eller om den gennem ændringernes omfang allerede er trådt ind i rollen som den part, der er ansvarlig for den tekniske løsning.

Hvor omkostninger og ansvar reelt vokser

Efter en ulykke skyldes risikobelastningen ofte ikke længere selve hændelsen, men historikken bag de tidligere tekniske beslutninger. I praksis er det sjældent en maskine i fabriksoriginal stand, der skaber de største problemer. Langt oftere opstår tvisten på grund af en eftermonteret føder, et udskiftet gribeværktøj, ændret styrelogik, omgåelse af afskærmning, integration med en anden station eller en ændring af driftstilstanden, som er indført under pres for højere produktivitet. Set fra produktionens side kan sådanne indgreb virke rationelle. Efter en hændelse er det dog ikke intentionen, der tæller, men om organisationen kan dokumentere det konstruktionsmæssige grundlag for ændringen, forløbet af maskinens risikovurdering, valget af beskyttelsesforanstaltninger samt hvem der godkendte løsningen til drift.

Det er netop her, spørgsmålet om en væsentlig ændring opstår. Det handler ikke om, hvem der fysisk reparerede eller byggede maskinen om. Det afgørende er, om ændringernes omfang var så stort, at virksomheden ikke længere kun agerede som bruger, men overtog forpligtelser, der normalt påhviler den part, som er ansvarlig for den tekniske løsning. Denne grænse overses lettest, når ændringerne er fordelt mellem vedligehold, automation, procesingeniørarbejde og produktion, og hver af dem isoleret set ligner en mindre justering. Det er dog ikke ændringens interne betegnelse, der afgør dens karakter, men dens faktiske indvirkning på maskinens funktion, styringsmåden, farezoner, arbejdssekvensen, betingelserne for menneskelig indgriben og forudsigelige betjeningsfejl.

I praksis gentager denne mekanisme sig ofte. For at forkorte stilstand ændres rækkefølgen af en cylinders bevægelser lokalt, der tilføjes en sensor for emnets tilstedeværelse, og drift med åben afskærmning tillades i indstillingstilstand, fordi operatøren skal kunne se processen. Efter noget tid bliver løsningen en del af den daglige praksis. Når der så sker en ulykke, kan ingen entydigt pege på, hvem der godkendte ændringen, hvilke sikkerhedsforudsætninger der blev lagt til grund, om beskyttelsesfunktionerne blev kontrolleret efter ændringen, om personalet blev oplært, og om instruktionerne svarer til den faktiske situation. Så stiger omkostningerne markant, ikke kun fordi linjen står stille, men fordi virksomheden mister et sammenhængende grundlag for sit tekniske forsvar.

I sådanne sager er det ikke mundtlige erklæringer, men spor af ændringsstyring, der har betydning. Hvis de mangler, bliver hvert efterfølgende svar ad hoc og let at anfægte.

• ændringsanmodning med beskrivelse af formål, omfang og påvirkning af sikkerheden,
• tekniske godkendelser og angivelse af ansvar for frigivelse til drift,
• resultater af test, modtagekontrol og verifikation af beskyttelsesforanstaltninger,
• opdateringer af instruktioner, procedurer for energiisolering og bekræftelser på gennemført oplæring.

Den anden risikodimension vedrører forholdet mellem minimumskravene til maskiner i brug og de forpligtelser, der kan opstå efter ombygning, integration eller genidriftsættelse i en ændret konfiguration. Argumentet om, at maskinen har kørt i årevis, kan ikke i sig selv erstatte dokumentation for sikkerhedsaudit af maskiner og produktionslinjer, overensstemmelsesgennemgange og en aktuel vurdering af, i hvilken konfiguration den drives i dag. Producentens oprindelige EU-overensstemmelseserklæring kan stadig have betydning, men den besvarer ikke automatisk spørgsmålet om, hvorvidt den efter en ombygning af linjen eller en ændring af styrelogikken stadig beskriver den faktiske tilstand. Derfor skal man efter en ulykke præcist fastslå, om der var tale om en reparation eller en væsentlig ændring af maskinen, og om analysen vedrører en enkelt maskine eller en linje som et samlet maskinsystem.

Beslutninger, der skaber overblik

Når hændelsen er bragt under kontrol, bør man ikke begynde med spørgsmålet om, hvor hurtigt produktionen kan genstartes. Først skal det fastlægges, efter hvilken logik de videre beslutninger skal træffes. I praksis betyder det en parallel gennemgang af tre lag: maskinens faktiske tekniske tilstand, dokumenternes fuldstændighed og indbyrdes sammenhæng samt historikken for konstruktionsmæssige, styringsmæssige og organisatoriske ændringer. Først denne tilgang giver grundlag for en troværdig risikovurdering.

Hvis blot ét af disse lag mangler, ser teamet kun en del af billedet. Selve fejlen forklarer endnu ikke, om det var den tekniske løsning, brugsmåden eller en tidligere ændring, hvis konsekvenser ingen formelt vurderede, der svigtede. Af samme grund bør beslutningen om standsning ikke altid begrænses til én station. Hvis identiske beskyttelsesforanstaltninger, det samme styresystem eller en tilsvarende ændring findes andre steder på linjen, skal omfanget af standsningen fastlægges bredere, før der opstår en sekundær hændelse.

På ledelsesniveau skal spørgsmål om drift også adskilles fra spørgsmål om overensstemmelse. Først skal det afklares, i hvilken rolle organisationen optræder i forhold til maskinen eller maskinsystemet. Hvis den fortsat er bruger, skal den som minimum kunne dokumentere, at den råder over de dokumenter, der blev leveret med maskinen, samt beviser for sikker drift i den aktuelle arbejdskonfiguration. Hvis omfanget af ombygning, integration eller ændring af funktionslogikken derimod flytter den i retning af at være reel producent, stiger det forventede niveau af begrundelse tydeligt. I så fald bliver der behov for mere omfattende teknisk dokumentation, som forklarer de valgte sikkerhedsløsninger, udvælgelsen af beskyttelsesforanstaltninger, resultaterne af afprøvninger og grundlaget for den anvendte risikovurdering.

En enkel matrix til vurdering af dokumentation er nyttig: dokumentet findes, det er opdateret, det stemmer ikke overens med maskinens aktuelle tilstand, eller det mangler. Denne opdeling viser hurtigt, om problemet er af formel karakter, eller om det betyder, at man har mistet kontrollen over den tekniske løsning. I praksis skal man besvare nogle grundlæggende spørgsmål: findes der en EU-overensstemmelseserklæring, og dækker den den nuværende konfiguration, er brugsanvisningen blevet opdateret efter ændringerne, og er der adgang til diagrammer, fortegnelser over sikkerhedskomponenter, prøvningsprotokoller, resultater af audits af minimumskrav, registreringer af eftersyn, lockout af energi og oplæring. At ét dokument mangler, betyder ikke altid, at maskinen nødvendigvis skal tages permanent ud af drift, men hvis flere centrale beviser mangler samtidig, betyder det som regel, at virksomheden ikke kan dokumentere hverken driftsmåden eller beslutningen om genopstart.

• EU-overensstemmelseserklæring og brugsanvisning — beskriver de maskinens aktuelle tilstand,
• diagrammer, risikovurdering, overtagelses- og prøvningsprotokoller — begrunder de de anvendte beskyttelsesforanstaltninger,
• ændringslog, auditresultater, registreringer af eftersyn og oplæring — bekræfter de sikker drift efter ændringerne.

En hyppig fejl er at sidestille udbedring af en skade med fjernelse af årsagen. Udskiftning af et lysgitter, en afskærmningslås eller et sikkerhedsmodul afslutter ikke sagen, hvis man ikke ved, hvorfor beskyttelsen ophørte med at opfylde sin funktion, eller hvorfor virksomheden tillod drift under ændrede forhold. En tilbagevenden til drift kræver derfor ikke kun reparation, men også dokumentation for, at både den tekniske og den organisatoriske årsag er fjernet, og at den valgte anvendelsesmåde svarer til maskinens, styringens og beskyttelsesforanstaltningernes aktuelle tilstand.

I nogle tilfælde er det tilstrækkeligt at få styr på driften og kontrollere beskyttelsesforanstaltningerne før genopstart. I andre tilfælde vil det være nødvendigt med et bredere eftersyn af hele maskinanlægget, en ekstern audit eller en mere fuldstændig overensstemmelsesanalyse, især hvis ændringerne har berørt sikkerhedsfunktioner, samvirkende systemer eller udstyr, der er underlagt særskilte tekniske krav, såsom trykinstallationer. Set fra et normativt perspektiv er det vigtigste her ikke at ophobe juridiske grundlag, men at kunne dokumentere rettidig omhu i vurderingen af maskinens overensstemmelse og drift.

Sådan undgår man at vende tilbage til den samme ulykke

Den vigtigste læring efter en ulykke handler sjældent om én enkelt operatørfejl. Den afslører som regel den måde, organisationen træffer beslutninger om tekniske, organisatoriske og softwaremæssige ændringer på. Hvis ændringens indvirkning på sikkerheden først vurderes efter implementeringen, behøver den næste hændelse ikke at ske på den samme maskine. Den vender tilbage et andet sted på linjen, hos et andet team og under et andet projektnavn.

Derfor handler det ikke om at lukke krisen ved at tilføje ét forbud i instruktionen. Det handler om at ændre beslutningsreglerne: hvem der må bestille en ændring, hvem der vurderer dens indvirkning på beskyttelsesforanstaltningerne, hvem der har ansvaret for risikovurderingen, og hvem der formelt godkender maskinen til fortsat brug. Det er kernen i ændringsstyring. Det er her, det afgøres, om virksomheden faktisk lærer af hændelsen, eller blot genskaber et skær af handlekraft.

I praksis er der behov for en model, som er enkel, men anvendes uden undtagelser. Enhver teknisk ændring bør gennemgå den samme sekvens: vurdering af indvirkningen på sikkerheden, udpegning af den beslutningsansvarlige, fastlæggelse af nødvendige test og godkendelser, opdatering af dokumentationen samt formel tilladelse til brug. Det handler ikke om et omfattende bureaukrati, men om et beslutningsspor, som kan genskabes efter en måned og efter en ulykke. Hvis ændringen omfatter styresystemet, afskærmninger, farezonen, logikken i samspillet mellem maskiner eller måden, hvorpå mennesker griber ind i processen, må den ikke behandles som en almindelig reparation.

Efter en hændelse bliver det også straks tydeligt, om maskinsikkerhed i audits af minimumskrav var et reelt værktøj til kontrol af anvendelsesforholdene, eller blot en arkiveret formular. Gode audits gør det muligt hurtigt at svare på, hvilke afskærmninger og beskyttelsesanordninger maskinen skal have, hvilke afvigelser der tidligere er konstateret, hvem der godkendte dem, og om de korrigerende handlinger er afsluttet. Svage audits ender i generelle formuleringer uden bevisværdi. Derfor er det efter en ulykke værd ikke kun at vende tilbage til hændelsesstedet, men også til lignende ændringer i virksomheden og kontrollere, om den samme beslutningsmekanisme findes i bredere omfang.

Forholdet til leverandører, integratorer og service er fortsat en særskilt kilde til problemer. Ekstern støtte kan være teknisk nødvendig, men den flytter ikke ansvaret for det, der i sidste ende er i drift i virksomheden, ud af huset. Hvis organisationen ikke klart kan fastslå, hvad der er blevet ændret, hvem der godkendte arbejdets omfang, hvad leverandørens ansvarsgrænser var, og om dokumentationen blev overdraget i en brugbar stand, står den efter en ulykke uden sit eget beslutningsgrundlag. Så vender det sværeste spørgsmål tilbage: er brugeren stadig kun bruger, eller er vedkommende gennem omfanget og måden, ændringerne er gennemført på, blevet den ansvarlige part for den tekniske løsning og skal derfor ikke kun råde over brugerens dokumenter, men i praksis også over en mere fuldstændig dokumentation, der svarer til de valgte løsninger.

Den endelige konklusion er enkel. Efter en ulykke er det ikke hurtige erklæringer, der giver en fordel, men kvaliteten af beviserne og disciplinen i beslutningerne. Det er disse forhold, der afgør, om krisen begrænses til én hændelse og ét stop, eller om den udvikler sig til et langvarigt problem med ansvar, tvister om omfanget af ændringerne og yderligere driftsstop. En organisation, der kan dokumentere en logisk kæde: ændring, klassificering, test, opdatering af dokumentation, formel godkendelse til ibrugtagning, har et reelt grundlag for at forsvare sig. En organisation, der bygger på medarbejdernes hukommelse og antagelsen om, at der kun var tale om en mindre ombygning, vender tilbage til den samme type ulykke, selv når den ikke gentager sig i nøjagtig samme form.