Työtapaturma tuotantolinjalla: miten hallita kriisi eikä lisätä vastuuta koneen muutoksen jälkeen

Tuotantolinjalla sattunut tapaturma lakkaa hyvin nopeasti olemasta pelkkä työturvallisuusasia. Käytännössä siitä tulee samalla testi laitoksen tekniselle kypsyydelle, muutostenhallinnan laadulle ja koneen dokumentaation kattavuudelle. Asian jatkokulkua ratkaisee harvoin itse loukkaantumishetki. Paljon useammin ratkaisevaa on se, mitä laitos pystyy osoittamaan muutaman tunnin ja muutaman päivän kuluttua: mikä oli koneen tila, kuka teki muutoksia ja millä perusteella, säilytettiinkö tekniset jäljet ja kuvaavatko asiakirjat todella sitä järjestelmää, joka oli käytössä tapahtumahetkellä.

Tällä on käytännön merkitystä myös silloin, kun konetta tai tuotantolinjaa oli aiemmin muutettu. Tapaturman jälkeen nousee uudelleen esiin kysymys, oliko kyse vielä korjauksesta tai käytön aikaisesta säädöstä vai jo olennaisesta muutoksesta, joka siirtää käyttäjää kohti valmistajalle kuuluvaa vastuuta. Samasta näkökulmasta on arvioitava myös vähimmäisvaatimusten auditoinnit, EU-vaatimustenmukaisuusvakuutukset, käyttöohjeet ja koko tekninen dokumentaatio, jos laitos on tosiasiallisesti määrittänyt teknisen ratkaisun. Siksi kriisinhallintamenettely ei voi päättyä tapahtumapaikan varmistamiseen. Sen on johdettava yhteen vastaukseen: hallitseeko organisaatio teknisen tilan, dokumentaation ja ne päätökset, jotka johtivat koneen käyttöön kyseisessä kokoonpanossa.

Ensimmäiset tunnit tapahtuman jälkeen

Ensimmäisten tuntien aikana tapaturman jälkeen tärkeintä on tunnistaa ongelman luonne oikein. Laitos ei kohtaa enää pelkästään vikaa eikä ainoastaan tapaturman jälkeistä menettelyä. Samanaikaisesti kyse on teknisestä, todisteluun liittyvästä ja johtamiseen liittyvästä kriisistä. Tämä erottelu auttaa asettamaan prioriteetit oikein: ensin ihmisten turvallisuus ja tapahtumapaikan vakauttaminen, sitten teknisten jälkien ja tietojen suojaaminen ja vasta lopuksi päätökset toiminnan palauttamisesta.

Tässä vaiheessa eniten vahinkoa aiheuttavat refleksinomaiset toimet. Joku siirtää osia, nollaa ohjausjärjestelmän, poistaa hälytyksiä, käynnistää koneen ”vain kokeeksi” tai yrittää rekonstruoida tapahtumien kulun todistajien muistikuvien perusteella. Samaan aikaan arvokkain tieto on vielä tallessa ohjaimessa, käyttöliittymäpaneelissa, hälytyslokeissa, kuvantamisjärjestelmässä, kameroissa ja alueelle tehtyjen kulkujen historiassa. Myöhempiä johtopäätöksiä voidaan vielä korjata. Kadonneita teknisiä jälkiä ei yleensä enää saada takaisin.

Siksi ensimmäisessä vaiheessa on toimittava ei vian poistamiseen keskittyvänä ryhmänä vaan teknistä selvitystä jäsentävänä tiiminä. Käytännössä tämä tarkoittaa roolien erottamista ja päätöksenteon kaaoksen pysäyttämistä. Yhden henkilön tulisi vastata tapahtumapaikan turvallisuudesta ja kulunvalvonnasta, toisen tiedonkulun yhtenäisyydestä, kolmannen yhteydenpidosta toimittajan huoltoon ja vielä toisen dokumentaation turvaamisesta sekä tietojen kopioinnista ohjausjärjestelmistä ja valvontajärjestelmistä. Muuten on helppo ajautua tilanteeseen, jossa huolto muodostaa etäyhteyden koneeseen ja ylikirjoittaa vikahistorian, kunnossapito palauttaa sähkönsyötön ja tuotannon johto painostaa samanaikaisesti osittaiseen uudelleenkäynnistykseen.

Alkuperäisellä tilanteella on suurin arvo juuri ennen työpisteen ”järjestämistä”. Konetta on siis tarkasteltava paitsi vaurion myös todellisen turvakokoonpanon ja käyttötavan näkökulmasta. Merkitystä on suojien sijainnilla ja kunnolla, kytkimistä valitulla käyttötilalla, mahdollisilla suojatoimintojen ohituksilla, antureiden ja toimilaitteiden tilalla, asetusarvoilla, ohjaimen ohjelmamuutosten historialla, kunnossapitojärjestelmän merkinnöillä sekä viimeisimmillä huoltotoimenpiteillä. Todistajien kertomukset ovat tarpeellisia, mutta niillä on vain täydentävä rooli: tapahtuman jälkeen muisti on usein katkonainen ja stressin vääristämä.

Toiminnan näkökulmasta vastaus kysymykseen siitä, kuinka pitkälle koneeseen voidaan puuttua tapahtuman jälkeen, on yksinkertainen: vain siinä määrin kuin se on välttämätöntä ihmisten pelastamiseksi, välittömän vaaran poistamiseksi ja tapahtumapaikan varmistamiseksi, samalla kun jokainen muutos dokumentoidaan. Jokaista koeluonteista käynnistystä, suojan purkamista, hälytyksen kuittausta tai osan vaihtoa ennen alkuperäisen tilanteen tallentamista on pidettävä korkean riskin päätöksenä.

• varmistetaan ihmisten turvallisuus ja eristetään tapahtuma-alue palauttamatta koneen toimintaa,
• dokumentoidaan alkuperäinen tila: valokuvat, osien sijainnit, paneelien näytöt, hälytykset ja viestit,
• otetaan tietokopiot ja estetään etä- ja paikallinen pääsy, joka voisi ylikirjoittaa historian,
• nimetään yksi päätösvastuullinen keskeytyksestä tai toiminnan osittaisesta uudelleenkäynnistämisestä.

Vasta kun tosiasiat on näin jäsennetty, voidaan siirtyä vaatimustenmukaisuutta ja vastuuta koskeviin kysymyksiin. Tällöin voidaan luotettavasti arvioida, käytettiinkö konetta käyttötarkoituksensa mukaisesti, säilyikö muutosten jälkeen vaadittu turvallisuustaso ja onko olemassa ajantasaiset todisteet vaatimustenmukaisuuden arvioinnista, täydellinen tekninen dokumentaatio ja käyttöasiakirjat, jotka vastaavat todellista tilannetta. Tämä on myös se hetki, jolloin on ratkaistava, onko laitos edelleen pelkästään käyttäjä vai onko se muutosten laajuuden vuoksi jo siirtynyt teknisestä ratkaisusta vastaavan toimijan rooliin.

Missä kustannukset ja vastuu todella kasvavat

Onnettomuuden jälkeen riskin painoarvo ei useinkaan enää johdu itse tapahtumasta, vaan sitä edeltäneiden teknisten päätösten historiasta. Käytännössä suurimmat ongelmat aiheutuvat harvoin koneesta, joka toimii alkuperäisessä tehdaskunnossa. Paljon useammin kiistan lähteeksi nousee lisätty syötin, vaihdettu tarttuja, muutettu ohjauslogiikka, suojauksen ohitus, integrointi toiseen työpisteeseen tai suorituspaineessa tehty muutos käyttötapaan. Tuotannon näkökulmasta tällaiset toimenpiteet voivat vaikuttaa järkeviltä. Tapahtuman jälkeen ratkaisevaa ei kuitenkaan ole tarkoitus, vaan se, pystyykö organisaatio osoittamaan muutoksen suunnitteluperustan, koneen riskianalyysin kulun, suojatoimenpiteiden valinnan sekä sen, kuka hyväksyi ratkaisun käyttöön.

Juuri tässä nousee esiin kysymys olennaisesta muutoksesta. Kyse ei ole siitä, kuka fyysisesti korjasi tai muokkasi konetta. Olennaista on, oliko muutosten laajuus sellainen, että laitos ei enää toiminut pelkästään käyttäjänä vaan otti vastuulleen tehtäviä, jotka kuuluvat teknisestä ratkaisusta vastaavalle toimijalle. Tämä raja jää helpoimmin huomaamatta silloin, kun muutokset jakautuvat kunnossapidon, automaation, prosessi-insinöörien ja tuotannon kesken ja jokainen niistä näyttää erikseen vain pieneltä korjaukselta. Muutoksen luonnetta ei kuitenkaan ratkaise sen sisäinen nimitys, vaan sen todellinen vaikutus koneen toimintaan, ohjaustapaan, vaara-alueisiin, työjaksoon, ihmisen puuttumisen edellytyksiin ja ennakoitavissa oleviin käyttövirheisiin.

Käytännössä tämä mekanismi toistuu usein samanlaisena. Seisokkien lyhentämiseksi muutetaan paikallisesti sylinterin liikkeiden järjestystä, lisätään kappaleen läsnäolotunnistin ja sallitaan työskentely suojus avoinna asetustilassa, koska käyttäjän on nähtävä prosessi. Jonkin ajan kuluttua ratkaisusta tulee arkipäiväinen käytäntö. Kun onnettomuus tapahtuu, kukaan ei pysty yksiselitteisesti osoittamaan, kuka muutoksen hyväksyi, millaiset turvallisuusoletukset tehtiin, tarkistettiinko suojatoimintojen toiminta muutoksen jälkeen, koulutettiinko henkilöstö ja vastaavatko ohjeet todellista tilannetta. Tällöin kustannukset kasvavat jyrkästi, ei vain siksi, että linja seisoo, vaan myös siksi, että laitos menettää yhtenäisen teknisen puolustautumisperustan.

Tällaisissa asioissa merkitystä ei ole suullisilla vakuutteluilla vaan muutoksenhallinnasta jääneillä jäljillä. Jos niitä ei ole, jokainen seuraava vastaus on tilapäinen ja helposti kyseenalaistettavissa.

• muutospyyntö, jossa kuvataan tavoite, laajuus ja vaikutus turvallisuuteen,
• tekniset hyväksynnät ja tieto siitä, kuka vastasi käyttöön hyväksymisestä,
• testien, vastaanottojen ja suojatoimenpiteiden varmennusten tulokset,
• ohjeiden, energian erotuskäytäntöjen ja koulutusten vahvistusten päivitykset.

Toinen riskin ulottuvuus koskee käytössä oleville koneille asetettujen vähimmäisvaatimusten ja niiden velvoitteiden välistä suhdetta, joita voi syntyä uudelleenrakennuksen, integroinnin tai muuttuneessa kokoonpanossa uudelleen käyttöönoton jälkeen. Pelkkä väite siitä, että kone on ollut käytössä vuosia, ei korvaa todisteita auditoinneista, vaatimustenmukaisuuden tarkasteluista ja ajantasaisesta arviosta siitä, millaisessa kokoonpanossa sitä nyt käytetään. Valmistajan alkuperäisellä EU-vaatimustenmukaisuusvakuutuksella voi edelleen olla merkitystä, mutta se ei automaattisesti vastaa kysymykseen siitä, kuvaako se tuotantolinjan uudelleenrakennuksen tai ohjauslogiikan muutoksen jälkeen enää todellista tilannetta. Siksi onnettomuuden jälkeen on määritettävä täsmällisesti, oliko kyse korjauksesta vai koneen olennaisesta muutoksesta sekä tarkastellaanko analyysissa yksittäistä konetta vai linjaa konekokonaisuutena.

Päätökset, jotka jäsentävät tilanteen

Kun tapahtuma on saatu hallintaan, ei pidä aloittaa kysymyksestä, kuinka nopeasti tuotanto saadaan käyntiin. Ensin on määritettävä, millä logiikalla seuraavat päätökset tehdään. Käytännössä tämä tarkoittaa kolmen tason rinnakkaista tarkastelua: koneen todellista teknistä tilaa, asiakirjojen täydellisyyttä ja johdonmukaisuutta sekä rakenteellisten, ohjaukseen liittyvien ja organisatoristen muutosten historiaa. Vasta tällainen kokonaisuus antaa perustan uskottavalle riskinarvioinnille.

Jos yksikin näistä tasoista puuttuu, tiimi näkee vain osan kokonaiskuvasta. Pelkkä vika ei vielä selitä, pettikö tekninen ratkaisu, käyttötapa vai aiempi muutos, jonka vaikutuksia ei koskaan arvioitu muodollisesti. Samasta syystä pysäyttämispäätöstä ei aina pidä rajata vain yhteen työpisteeseen. Jos samat suojatoimenpiteet, sama ohjausjärjestelmä tai vastaava muutos esiintyvät muualla linjassa, keskeytyksen laajuus on määritettävä laajemmin ennen kuin syntyy uusi tapahtuma.

Johtamisen tasolla on myös erotettava käyttöä koskevat kysymykset vaatimustenmukaisuutta koskevista kysymyksistä. Ensin on määritettävä, missä roolissa organisaatio toimii suhteessa koneeseen tai konekokonaisuuteen. Jos se on edelleen käyttäjä, sen on pystyttävä osoittamaan vähintään, että sillä on koneen mukana toimitetut asiakirjat sekä näyttö turvallisesta käytöstä nykyisessä käyttöjärjestelyssä. Jos taas uudelleenrakennuksen, integroinnin tai toimintalogiikan muutoksen laajuus siirtää sitä tosiasiallisen valmistajan suuntaan, vaadittavan perustelun taso kasvaa selvästi. Tällöin tarvitaan kattavampi tekninen dokumentaatio, joka selittää valitut turvallisuusratkaisut, suojatoimenpiteiden valinnan, testien tulokset ja tehdyn riskinarvioinnin perustan.

Hyödyllinen apuväline on yksinkertainen asiakirjojen arviointimatriisi: asiakirja on olemassa, se on ajan tasalla, se ei vastaa koneen nykytilaa tai se puuttuu. Tällainen jaottelu näyttää nopeasti, onko kyse muodollisesta puutteesta vai siitä, että tekninen ratkaisu ei ole enää hallinnassa. Käytännössä on vastattava muutamaan peruskysymykseen: onko olemassa EU-vaatimustenmukaisuusvakuutus ja kattaako se nykyisen kokoonpanon, onko käyttöohje päivitetty muutosten jälkeen, sekä ovatko kaaviot, turvakomponenttiluettelot, testipöytäkirjat, vähimmäisvaatimusten auditointien tulokset, tarkastusmerkinnät, energian erottamisen ja lukituksen sekä koulutusten kirjaukset saatavilla. Yhden asiakirjan puuttuminen ei aina tarkoita, että kone on poistettava pysyvästi käytöstä, mutta useiden keskeisten todisteiden samanaikainen puuttuminen tarkoittaa yleensä sitä, ettei laitos pysty perustelemaan sen paremmin käyttötapaa kuin päätöstä käynnistää kone uudelleen.

• EU-vaatimustenmukaisuusvakuutus ja käyttöohje — kuvaavatko ne koneen nykyistä tilaa,
• kaaviot, riskianalyysi, vastaanotto- ja testipöytäkirjat — perustelevatko ne käytetyt suojaustoimenpiteet,
• muutosrekisteri, auditointien tulokset sekä tarkastus- ja koulutusmerkinnät — vahvistavatko ne turvallisen käytön muutosten jälkeen.

Yleinen virhe on se, että vaurion poistaminen samaistetaan syyn poistamiseen. Valoverhon, suojuksen lukituksen tai turvamoduulin vaihtaminen ei ratkaise asiaa, jos ei tiedetä, miksi suojaus lakkasi täyttämästä tehtäväänsä tai miksi laitos salli käytön muuttuneissa olosuhteissa. Käytön jatkaminen edellyttää siksi korjauksen lisäksi myös sen osoittamista, että tekninen ja organisatorinen syy on poistettu ja että valittu käyttötapa vastaa koneen, ohjauksen ja suojaustoimenpiteiden nykytilaa.

Joissakin tapauksissa riittää käytön hallinnan selkeyttäminen ja suojaustoimenpiteiden varmistaminen ennen uudelleenkäynnistystä. Toisissa tarvitaan laajempi koko konekokonaisuuden tarkastelu, ulkoinen auditointi tai perusteellisempi vaatimustenmukaisuuden arviointi, erityisesti silloin, kun muutokset ovat koskeneet turvatoimintoja, yhteistoimivia järjestelmiä tai laitteita, joihin sovelletaan erillisiä teknisiä vaatimuksia, kuten painelaitteita. Normatiivisesta näkökulmasta olennaista ei ole oikeusperusteiden lisääminen, vaan kyky osoittaa asianmukainen huolellisuus koneen vaatimustenmukaisuuden arvioinnissa ja käytössä.

Miten välttää saman onnettomuuden toistuminen

Onnettomuuden jälkeen arvokkain johtopäätös liittyy harvoin yhteen operaattorin virheeseen. Tavallisesti se paljastaa, miten organisaatio tekee päätöksiä teknisistä, organisatorisista ja ohjelmallisista muutoksista. Jos muutoksen vaikutus turvallisuuteen tarkistetaan vasta käyttöönoton jälkeen, seuraavan tapahtuman ei tarvitse toistua samalla koneella. Se palaa esiin toisessa kohdassa linjaa, toisen tiimin yhteydessä ja toisen projektin nimellä.

Siksi kriisin päättäminen ei tarkoita yhden kiellon lisäämistä ohjeeseen. Kyse on päätöksentekosääntöjen uudistamisesta: kuka saa tilata muutoksen, kuka arvioi sen vaikutuksen suojaustoimenpiteisiin, kuka vastaa riskien arvioinnista ja kuka hyväksyy koneen muodollisesti jatkokäyttöön. Tämä on muutoksenhallinnan ydin. Juuri tässä ratkaistaan, oppiiko laitos todella tapahtuneesta vai ainoastaan ylläpitääkö se näennäistä reagointia.

Käytännössä tarvitaan malli, joka on yksinkertainen mutta jota sovelletaan poikkeuksetta. Jokaisen teknisen muutoksen on käytävä läpi sama vaiheistus: vaikutuksen arviointi turvallisuuteen, päätösvastuun omistajan nimeäminen, vaadittujen testien ja vastaanottojen määrittely, dokumentaation päivittäminen sekä muodollinen käyttölupa. Tarkoitus ei ole rakentaa raskasta byrokratiaa, vaan päätösjälki, joka voidaan jäljittää kuukauden kuluttua ja onnettomuuden jälkeen. Jos muutos koskee ohjausjärjestelmää, suojauksia, vaara-aluetta, koneiden yhteistoiminnan logiikkaa tai tapaa, jolla ihminen puuttuu prosessiin, sitä ei saa käsitellä tavallisena korjauksena.

Tapahtuman jälkeen näkyy myös heti, oliko koneturvallisuus vähimmäisvaatimusten auditoinneissa todellinen väline käyttöolosuhteiden hallintaan vai pelkkä arkistoitu lomake. Hyvät auditoinnit mahdollistavat nopean vastauksen siihen, millaiset suojukset ja turvalaitteet koneessa pitäisi olla, mitä poikkeamia on aiemmin todettu, kuka ne on hyväksynyt ja onko korjaavat toimenpiteet saatettu päätökseen. Heikot auditoinnit päättyvät yleisluontoisiin kirjauksiin, joilla ei ole todistusarvoa. Siksi onnettomuuden jälkeen kannattaa palata paitsi tapahtumapaikkaan myös laitoksen vastaaviin muutoksiin ja tarkistaa, esiintyykö sama päätöksentekomekanismi laajemmin.

Oman ongelmaryhmänsä muodostaa suhde toimittajiin, integraattoreihin ja huoltoon. Ulkopuolinen tuki voi olla teknisesti välttämätöntä, mutta se ei siirrä laitoksen ulkopuolelle vastuuta siitä, mikä lopulta on käytössä laitoksessa. Jos organisaatio ei pysty selkeästi määrittämään, mitä muutettiin, kuka hyväksyi työn laajuuden, mitkä olivat toteuttajan vastuun rajat ja onko dokumentaatio luovutettu käyttökelpoisessa muodossa, se jää onnettomuuden jälkeen ilman omaa päätöksenteon perustaa. Tällöin palaa esiin vaikein kysymys: onko käyttäjä edelleen vain käyttäjä vai onko siitä tehtyjen muutosten laajuuden ja toteutustavan vuoksi tullut teknisestä ratkaisusta vastuussa oleva toimija, jolloin sillä on oltava käytössään paitsi käyttäjän asiakirjat myös käytännössä laajempi, valittuja ratkaisuja vastaava dokumentaatio.

Lopullinen johtopäätös on yksinkertainen. Onnettomuuden jälkeen etua ei tuo ilmoitusten nopeus vaan näytön laatu ja päätöksenteon kurinalaisuus. Juuri ne ratkaisevat, rajautuuko kriisi yhteen tapahtumaan ja yhteen seisokkiin vai kehittyykö siitä pitkäkestoinen vastuuongelma, kiista muutosten laajuudesta ja uusia tuotantokatkoksia aiheuttava tilanne. Organisaatiolla, joka pystyy osoittamaan loogisen ketjun – muutos, luokittelu, testaus, dokumentaation päivitys, muodollinen käyttöönottolupa – on todellinen perusta puolustautua. Organisaatio, joka nojaa ihmisten muistiin ja oletukseen, että kyse oli vain vähäisestä muutoksesta, palaa samanlaisiin onnettomuuksiin silloinkin, kun ne eivät toistu täsmälleen samassa muodossa.