Ozljeda na radu na proizvodnoj liniji: kako obuzdati krizu i ne povećati odgovornost nakon preinake stroja

Nesreća na proizvodnoj liniji vrlo brzo prestaje biti samo događaj iz područja zaštite na radu. U praksi istodobno postaje provjera tehničke zrelosti pogona, kvalitete upravljanja promjenama i potpunosti dokumentacije stroja. O daljnjem tijeku slučaja rijetko odlučuje sam trenutak ozljede. Mnogo češće presudnim se pokaže ono što pogon može dokazati nekoliko sati i nekoliko dana poslije: kakvo je bilo stanje stroja, tko je i na temelju čega uvodio promjene, jesu li sačuvani tehnički tragovi te opisuju li dokumenti doista sustav koji je radio u trenutku događaja.

To ima praktičnu važnost i kada je stroj ili linija prethodno izmijenjena. Nakon nesreće ponovno se otvara pitanje je li to još bio popravak ili korekcija u radu, ili već bitna preinaka koja korisnika približava odgovornosti svojstvenoj proizvođaču. Iz iste perspektive treba ocijeniti i revizije minimalnih zahtjeva, EU izjavu o sukladnosti, upute za uporabu i cjelokupnu tehničku dokumentaciju, osobito ako je pogon stvarno oblikovao tehničko rješenje. Zato se postupak upravljanja krizom ne može završiti samo osiguranjem mjesta događaja. On mora dovesti do jednog odgovora: ima li organizacija nadzor nad tehničkim stanjem, dokumentacijom i odlukama koje su dovele do rada stroja u toj konfiguraciji.

Prvi sati nakon događaja

U prvim satima nakon nesreće najvažnije je ispravno prepoznati problem. Pogon se više ne suočava samo s kvarom niti isključivo s postupkom nakon nesreće. Istodobno se suočava s tehničkom, dokaznom i upravljačkom krizom. To razlikovanje pomaže postaviti prioritete: najprije sigurnost ljudi i stabilizacija mjesta događaja, zatim zaštita tehničkih tragova i podataka, a tek na kraju odluke o ponovnom uspostavljanju rada.

U ovoj fazi najviše štete uzrokuju impulzivne radnje. Netko pomakne elemente, resetira upravljački sustav, izbriše alarme, pokrene stroj „samo probno” ili pokušava rekonstruirati tijek događaja iz sjećanja svjedoka. U međuvremenu su najvrjednije informacije i dalje zapisane u kontroleru, operaterskom panelu, zapisima alarma, vizijskom sustavu, kamerama i povijesti ulazaka u zonu. Naknadno utvrđene činjenice još se mogu korigirati. Izgubljeni tehnički tragovi u pravilu se više ne mogu vratiti.

Zato u prvoj fazi ne treba djelovati kao tim koji otklanja kvar, nego kao tim koji vodi tehničku istragu. U praksi to znači razdvajanje uloga i zaustavljanje kaosa u odlučivanju. Jedna osoba treba biti odgovorna za sigurnost mjesta događaja i kontrolu pristupa, druga za usklažen protok informacija, treća za kontakt sa servisom dobavljača, a još jedna za osiguranje dokumentacije i izradu kopija podataka iz upravljačkih i nadzornih sustava povezanih s industrijskom automatizacijom. Bez toga lako dolazi do situacije u kojoj se servis daljinski poveže sa strojem i prepiše povijest grešaka, održavanje vrati napajanje, a vodstvo proizvodnje istodobno pritišće za djelomično ponovno pokretanje rada.

Zatečeno stanje ima najveću vrijednost upravo prije „sređivanja” radnog mjesta. Zato stroj treba promatrati ne samo kroz prizmu oštećenja, nego i kroz stvarnu sigurnosnu konfiguraciju i način rada. Važni su položaj i stanje zaštita, način rada postavljen na preklopnicima, eventualna zaobilaženja zaštitnih funkcija, stanje senzora i izvršnih elemenata, parametri postavki, povijest promjena programa kontrolera, zapisi u sustavu održavanja te posljednje servisne intervencije. Iskazi svjedoka jesu potrebni, ali imaju pomoćnu ulogu: nakon događaja sjećanje je često fragmentarno i iskrivljeno stresom.

Iz operativne perspektive odgovor na pitanje koliko se smije intervenirati na stroju nakon događaja jednostavan je: samo u opsegu nužnom za spašavanje ljudi, uklanjanje neposredne opasnosti i osiguranje mjesta, uz istodobno dokumentiranje svake promjene. Svako probno pokretanje, skidanje zaštite, brisanje alarma ili zamjena elementa prije bilježenja zatečenog stanja treba smatrati odlukom visokog rizika.

• osigurati ljude i izolirati zonu događaja bez ponovnog uspostavljanja rada stroja,
• zabilježiti zatečeno stanje: fotografije, položaje elemenata, prikaze na panelima, alarme i poruke,
• izraditi kopije podataka i zaustaviti daljinski i lokalni pristup koji bi mogao prepisati povijest,
• odrediti jednu osobu odgovornu za odluke o obustavi ili djelomičnom ponovnom pokretanju rada.

Tek nakon takvog uređenja činjenica može se prijeći na pitanja sukladnosti i odgovornosti. Tada se može pouzdano procijeniti je li se stroj upotrebljavao u skladu s namjenom, je li nakon preinaka zadržana zahtijevana razina sigurnosti, postoje li aktualni dokazi ocjene sukladnosti, potpuna tehnička dokumentacija i uporabni dokumenti koji odgovaraju stvarnom stanju. To je i trenutak u kojem treba razriješiti ostaje li pogon isključivo korisnik ili je opsegom promjena već preuzeo ulogu subjekta odgovornog za tehničko rješenje.

Gdje trošak i odgovornost doista rastu

Nakon nesreće teret rizika često više ne proizlazi iz samog događaja, nego iz povijesti ranijih tehničkih odluka. U praksi najveće probleme rijetko uzrokuje stroj koji radi u tvorničkom stanju. Mnogo češće izvor spora postaju naknadno dodan dodavač, zamijenjena hvataljka, izmijenjena logika upravljanja, zaobilaženje zaštitne ograde, integracija s drugim radnim mjestom ili promjena načina rada uvedena pod pritiskom produktivnosti. Iz perspektive proizvodnje takvi zahvati mogu izgledati racionalno. Međutim, nakon događaja nije presudna namjera, nego može li organizacija dokazati projektnu osnovu promjene, tijek analize rizika stroja, odabir zaštitnih mjera te tko je rješenje odobrio za rad.

Upravo se ovdje pojavljuje pitanje bitne preinake. Nije riječ o tome tko je fizički popravljao ili prepravljao stroj. Bitno je je li opseg promjena bio toliko širok da postrojenje više nije djelovalo isključivo kao korisnik, nego je preuzelo obveze svojstvene subjektu odgovornom za tehničko rješenje. Tu je granicu najlakše previdjeti kada su promjene raspodijeljene između održavanja, automatike, procesnog inženjerstva i proizvodnje, a svaka od njih zasebno izgleda kao manja korekcija. O naravi promjene ne odlučuje njezin interni naziv, nego stvarni utjecaj na funkciju stroja, način upravljanja, opasne zone, radni slijed, uvjete ljudske intervencije i predvidive pogreške pri rukovanju.

U praksi se taj mehanizam često ponavlja. Kako bi se skratili zastoji, lokalno se mijenja redoslijed gibanja cilindra, dodaje se senzor prisutnosti komada i dopušta rad s otvorenom zaštitom u režimu podešavanja, jer operater mora vidjeti proces. Nakon nekog vremena takvo rješenje postaje svakodnevna praksa. Kada dođe do nesreće, nitko ne može jednoznačno pokazati tko je odobrio promjenu, koje su sigurnosne pretpostavke usvojene, je li nakon preinake provjeren rad zaštitnih funkcija, je li osoblje osposobljeno i odgovaraju li upute stvarnom stanju. Tada trošak naglo raste ne samo zato što linija stoji, nego i zato što postrojenje gubi dosljednu osnovu tehničke obrane.

U takvim su slučajevima važni ne usmeni iskazi, nego tragovi upravljanja promjenama. Ako oni nedostaju, svaki sljedeći odgovor postaje ad hoc i podložan osporavanju.

• zahtjev za promjenu s opisom cilja, opsega i utjecaja na sigurnost,
• tehnička odobrenja i jasno određivanje odgovornosti za puštanje u rad,
• rezultati ispitivanja, preuzimanja i provjere zaštitnih mjera,
• ažuriranja uputa, postupaka blokiranja energije i potvrde o osposobljavanju.

Druga os rizika odnosi se na odnos između minimalnih zahtjeva za strojeve koji se koriste i obveza koje mogu nastati nakon pregradnje, integracije ili ponovnog puštanja u uporabu u izmijenjenoj konfiguraciji. Sama tvrdnja da je stroj radio godinama ne može zamijeniti dokaze o auditima, pregledima usklađenosti i aktualnoj procjeni u kojem se sklopu danas koristi. Izvorna EU izjava o sukladnosti proizvođača i dalje može biti važna, ali ne daje automatski odgovor na pitanje opisuje li nakon pregradnje linije ili promjene logike upravljanja još uvijek stvarno stanje. Upravo zato nakon nesreće treba precizno utvrditi je li riječ bila o popravku ili o bitnoj preinaci stroja te odnosi li se analiza na pojedinačni stroj ili na liniju kao sklop strojeva.

Odluke koje uvode red u situaciju

Nakon što se događaj stavi pod kontrolu, ne treba počinjati pitanjem koliko se brzo proizvodnja može ponovno pokrenuti. Najprije treba utvrditi prema kojoj će se logici donositi daljnje odluke. U praksi to znači paralelni pregled triju razina: stvarnog tehničkog stanja stroja, potpunosti i usklađenosti dokumentacije te povijesti konstrukcijskih, upravljačkih i organizacijskih promjena. Tek takav pristup daje osnovu za vjerodostojnu procjenu rizika.

Ako nedostaje makar jedna od tih razina, tim vidi samo dio slike. Sam kvar još ne objašnjava je li zakazalo tehničko rješenje, način uporabe ili ranija preinaka čije posljedice nitko formalno nije procijenio. Iz istog razloga odluka o zaustavljanju ne bi se uvijek trebala ograničiti na jedno radno mjesto. Ako se identične zaštitne mjere, isti upravljački sustav ili analogna promjena pojavljuju i na drugim dijelovima linije, opseg obustave treba odrediti šire prije nego što dođe do sekundarnog događaja.

Na upravljačkoj razini također treba razdvojiti pitanja eksploatacije od pitanja sukladnosti. Najprije treba utvrditi u kojoj ulozi organizacija nastupa u odnosu na stroj ili sklop strojeva. Ako ostaje korisnik, mora dokazati barem to da raspolaže dokumentima isporučenima uz stroj te dokazima o sigurnoj uporabi u aktualnom radnom rasporedu. Ako je, međutim, opseg pregradnje, integracije ili promjene logike rada pomiče prema stvarnom proizvođaču, očekivana razina obrazloženja jasno raste. Tada je potrebna potpunija tehnička dokumentacija koja objašnjava usvojena sigurnosna rješenja, odabir zaštitnih mjera, rezultate ispitivanja i osnovu prihvaćene procjene rizika.

Korisna je jednostavna matrica za ocjenu dokumentacije: dokument postoji, ažuran je, nije usklađen sa stvarnim stanjem stroja ili nedostaje. Takva podjela brzo pokazuje je li problem formalne naravi ili upućuje na gubitak nadzora nad tehničkim rješenjem. U praksi treba odgovoriti na nekoliko osnovnih pitanja: postoji li EU izjava o sukladnosti i odnosi li se na trenutačnu konfiguraciju, je li uputa za uporabu ažurirana nakon izmjena, jesu li dostupne sheme, popisi sigurnosnih elemenata, zapisnici ispitivanja, rezultati revizija minimalnih zahtjeva, evidencije pregleda, blokiranja energije i osposobljavanja. Nedostatak jednog dokumenta ne znači uvijek da stroj treba trajno isključiti iz rada, ali istodoban izostanak nekoliko ključnih dokaza obično znači da postrojenje ne može opravdati ni način uporabe ni odluku o ponovnom puštanju u rad.

• EU izjava o sukladnosti i uputa za uporabu — opisuju li aktualno stanje stroja,
• sheme, analiza rizika, zapisnici preuzimanja i ispitivanja — opravdavaju li primijenjene zaštitne mjere,
• registar izmjena, rezultati revizija, evidencije pregleda i osposobljavanja — potvrđuju li sigurnu uporabu nakon preinaka.

Česta je pogreška poistovjećivanje uklanjanja kvara s uklanjanjem uzroka. Zamjena svjetlosne zavjese, brave zaštitne ograde ili sigurnosnog modula ne rješava problem ako nije jasno zašto zaštita više nije ispunjavala svoju funkciju ili zašto je postrojenje dopustilo rad u izmijenjenim uvjetima. Povratak u rad zato ne zahtijeva samo popravak, nego i dokaz da su uklonjeni tehnički i organizacijski uzroci te da prihvaćeni način uporabe odgovara aktualnom stanju stroja, upravljanja i zaštitnih mjera.

U nekim je slučajevima dovoljno urediti način uporabe i provjeriti zaštitne mjere prije ponovnog puštanja u rad. U drugima će biti potreban širi pregled cijelog sklopa strojeva, vanjska revizija ili cjelovitija analiza sukladnosti, osobito kada su promjene zahvatile sigurnosne funkcije, međusobno povezane sustave ili opremu koja podliježe posebnim tehničkim režimima, kao što su tlačne instalacije. S normativnog gledišta ovdje nije najvažnije umnažati pravne osnove, nego moći dokazati dužnu pažnju u ocjeni sukladnosti i uporabi stroja.

Kako se ne vratiti istoj nesreći

Najvrjedniji zaključak nakon nesreće rijetko se odnosi na jednu pogrešku rukovatelja. Obično otkriva način na koji organizacija donosi odluke o tehničkim, organizacijskim i programskim promjenama. Ako se utjecaj promjene na sigurnost provjerava tek nakon provedbe, sljedeći se događaj ne mora ponoviti na istom stroju. Pojavit će se na drugom mjestu linije, u drugom sklopu i pod drugim nazivom projekta.

Zato zatvaranje krizne situacije ne znači samo dopisati jednu zabranu u uputu. Riječ je o preoblikovanju pravila odlučivanja: tko može naložiti promjenu, tko procjenjuje njezin utjecaj na zaštitne mjere, tko je odgovoran za procjenu rizika i tko formalno odobrava daljnju uporabu stroja. To je bit upravljanja promjenama. Upravo se ovdje odlučuje uči li postrojenje doista iz događaja ili samo stvara privid reakcije.

U praksi je potreban model koji je jednostavan, ali se primjenjuje bez iznimke. Svaka tehnička promjena trebala bi proći isti slijed: procjenu utjecaja na sigurnost, određivanje vlasnika odluke, definiranje potrebnih ispitivanja i preuzimanja, ažuriranje dokumentacije te formalno odobrenje za uporabu. Ne radi se o razrađenoj birokraciji, nego o tragu odlučivanja koji se može rekonstruirati nakon mjesec dana i nakon nesreće. Ako preinaka obuhvaća upravljački sustav, ograde, opasnu zonu, logiku suradnje strojeva ili način ljudske intervencije u proces, ne smije se tretirati kao običan popravak.

Nakon događaja odmah se vidi je li sigurnost strojeva u revizijama minimalnih zahtjeva bila stvaran alat za nadzor uvjeta uporabe ili samo arhivski obrazac. Dobre revizije omogućuju brz odgovor na pitanja koje bi zaštite i zaštitni uređaji trebali biti na stroju, koja su odstupanja ranije utvrđena, tko ih je odobrio i jesu li korektivne mjere zatvorene. Loše završavaju općenitim navodima bez dokazne vrijednosti. Zato se nakon nesreće vrijedi vratiti ne samo na mjesto događaja nego i na slične preinake u postrojenju te provjeriti pojavljuje li se isti mehanizam odlučivanja i šire.

Zaseban izvor problema i dalje je odnos s dobavljačima, integratorima i servisom. Vanjska podrška može biti tehnički nužna, ali ne prenosi odgovornost za ono što na kraju radi u postrojenju na nekoga drugoga. Ako organizacija ne može jasno utvrditi što je promijenjeno, tko je odobrio opseg radova, koje su bile granice odgovornosti izvođača i je li dokumentacija predana u uporabljivom stanju, nakon nesreće ostaje bez vlastite osnove za odlučivanje. Tada se vraća najteže pitanje: je li korisnik i dalje samo korisnik ili je opsegom i načinom uvedenih promjena postao subjekt odgovoran za tehničko rješenje, pa stoga mora raspolagati ne samo dokumentima korisnika nego u praksi i potpunijom dokumentacijom primjerenom prihvaćenim rješenjima.

Završni zaključak je jednostavan. Nakon nesreće prednost ne donosi brzina izjava, nego kvaliteta dokaza i disciplina u donošenju odluka. Upravo to odlučuje hoće li se kriza ograničiti na jedan događaj i jedan zastoj ili će prerasti u dugotrajan problem odgovornosti, sporove oko opsega izmjena i nove zastoje. Organizacija koja može dokazati logičan slijed: izmjena, kvalifikacija, ispitivanje, ažuriranje dokumentacije, formalno odobrenje za uporabu, ima stvarnu osnovu za obranu. Organizacija koja se oslanja na sjećanje ljudi i na pretpostavku da je to bila samo manja preinaka, vraća se istoj vrsti nesreće čak i kada se ona ne ponovi u potpuno istom obliku.