Delovna nesreča na proizvodni liniji: kako obvladati krizne razmere in po spremembi stroja ne povečati odgovornosti

Nesreča na proizvodni liniji zelo hitro preneha biti zgolj dogodek s področja varnosti in zdravja pri delu. V praksi hkrati postane preizkus tehnične zrelosti obrata, kakovosti upravljanja sprememb in popolnosti strojne dokumentacije. O nadaljnjem poteku zadeve redko odloča sam trenutek poškodbe. Veliko pogosteje je odločilno to, kaj lahko obrat dokaže nekaj ur in nekaj dni pozneje: kakšno je bilo stanje stroja, kdo je in na kakšni podlagi uvedel spremembe, ali so bile tehnične sledi ohranjene ter ali dokumenti dejansko opisujejo sistem, ki je deloval v trenutku dogodka.

To ima praktičen pomen tudi takrat, ko je bil pred tem spremenjen stroj ali linija. Po nesreči se znova pojavi vprašanje, ali je šlo še za popravilo oziroma obratovalni poseg ali pa že za bistveno spremembo, ki uporabnika premakne proti odgovornosti, značilni za proizvajalca. Z istega vidika je treba presoditi tudi izpolnjevanje minimalnih zahtev, EU-izjave o skladnosti, navodila za uporabo in celotno tehnično dokumentacijo, če je obrat dejansko oblikoval tehnično rešitev. Zato se postopek kriznega upravljanja ne sme končati pri zavarovanju kraja dogodka. Pripeljati mora do enega odgovora: ali ima organizacija pod nadzorom tehnično stanje, dokumentacijo in odločitve, ki so privedle do delovanja stroja v določeni konfiguraciji.

Prve ure po dogodku

V prvih urah po nesreči je najpomembneje pravilno opredeliti problem. Obrat se ne sooča več samo z okvaro niti zgolj s postopkom obravnave nesreče. Hkrati ima opravka s tehnično, dokazno in upravljavsko krizo. To razlikovanje pomaga določiti prednostne naloge: najprej varnost ljudi in stabilizacija kraja dogodka, nato zaščita tehničnih sledi in podatkov, šele na koncu pa odločitve o ponovni vzpostavitvi delovanja.

Na tej stopnji največ škode povzročijo impulzivna ravnanja. Nekdo premakne elemente, ponastavi krmilni sistem, izbriše alarme, zažene stroj »samo za preizkus« ali pa skuša potek dogodka rekonstruirati iz spomina prič. Medtem so najdragocenejše informacije še vedno zapisane v krmilniku, operaterskem panelu, registrih alarmov, vizijskem sistemu, kamerah in zgodovini vstopov v območje. Poznejše ugotovitve je še mogoče popraviti. Izgubljenih tehničnih sledi pa praviloma ni več mogoče obnoviti.

Zato je treba v prvi fazi ravnati ne kot ekipa za odpravo okvare, temveč kot ekipa, ki vodi tehnično preiskavo. V praksi to pomeni jasno razmejitev vlog in zaustavitev kaosa pri odločanju. Ena oseba mora biti odgovorna za varnost kraja dogodka in nadzor dostopa, druga za usklajen pretok informacij, naslednja za stik s servisom dobavitelja, še ena pa za zavarovanje dokumentacije ter izdelavo kopij podatkov iz krmilnih in nadzornih sistemov, povezanih tudi z industrijsko avtomatizacijo. Brez tega hitro nastane položaj, v katerem se servis na daljavo poveže s strojem in prepiše zgodovino napak, vzdrževanje ponovno vzpostavi napajanje, vodstvo proizvodnje pa hkrati pritiska za delno nadaljevanje dela.

Dejansko stanje ima največjo vrednost prav pred »urejanjem« delovnega mesta. Zato je treba na stroj gledati ne le skozi prizmo poškodbe, temveč tudi skozi dejansko varnostno konfiguracijo in način delovanja. Pomembni so položaj in stanje varoval, način delovanja, nastavljen na preklopnikih, morebitni obvodi zaščitnih funkcij, stanje senzorjev in izvršilnih elementov, parametri nastavitev, zgodovina sprememb programa krmilnika, vnosi v sistemu vzdrževanja ter zadnji servisni posegi. Izjave prič so potrebne, vendar imajo pomožno vlogo: po dogodku je spomin pogosto nepopoln in izkrivljen zaradi stresa.

Z operativnega vidika je odgovor na vprašanje, kako daleč je po dogodku dovoljeno posegati v stroj, preprost: samo v obsegu, ki je nujen za reševanje ljudi, odpravo neposredne nevarnosti in zavarovanje kraja, ob hkratnem dokumentiranju vsake spremembe. Vsak poskusni zagon, demontažo varovala, izbris alarma ali zamenjavo elementa pred zabeležitvijo dejanskega stanja je treba obravnavati kot odločitev z visokim tveganjem.

• zavarovati ljudi in izolirati območje dogodka brez ponovne vzpostavitve delovanja stroja,
• zabeležiti dejansko stanje: fotografije, položaje elementov, prikaze na panelih, alarme in sporočila,
• izdelati kopije podatkov ter ustaviti oddaljeni in lokalni dostop, ki bi lahko prepisal zgodovino,
• določiti enega nosilca odločanja o zaustavitvi ali delnem ponovnem zagonu dela.

Šele po takšni ureditvi dejstev je mogoče preiti na vprašanja skladnosti in odgovornosti. Takrat je mogoče zanesljivo oceniti, ali se je stroj uporabljal v skladu z namenom, ali je bila po spremembah ohranjena zahtevana raven varnosti, ali obstajajo veljavni dokazi o oceni skladnosti, popolna tehnična dokumentacija in uporabniški dokumenti, ki ustrezajo dejanskemu stanju. To je tudi trenutek, ko je treba odločiti, ali obrat ostaja zgolj uporabnik ali pa je zaradi obsega sprememb že prevzel vlogo subjekta, odgovornega za tehnično rešitev.

Kje v resnici naraščata strošek in odgovornost

Po nesreči teža tveganja pogosto ne izhaja več iz samega dogodka, temveč iz zgodovine predhodnih tehničnih odločitev. V praksi največjih težav redko povzroča stroj, ki deluje v tovarniškem stanju. Veliko pogosteje vir spora postanejo dodan podajalnik, zamenjano prijemalo, spremenjena logika krmiljenja, obvod varovala, integracija z drugim delovnim mestom ali sprememba načina delovanja, uvedena pod pritiskom produktivnosti. Z vidika proizvodnje se takšni posegi lahko zdijo razumni. Po dogodku pa ni pomemben namen, temveč to, ali organizacija lahko dokaže projektno podlago spremembe, potek analize tveganja stroja, izbiro zaščitnih ukrepov ter kdo je rešitev odobril za obratovanje.

Prav tu se pojavi vprašanje bistvene spremembe. Ne gre za to, kdo je stroj fizično popravljal ali predeloval. Ključno je, ali obseg sprememb ni bil tako velik, da obrat ni več nastopal zgolj kot uporabnik, temveč je prevzel obveznosti, značilne za subjekt, odgovoren za tehnično rešitev. To mejo je najlažje spregledati takrat, ko so spremembe razpršene med vzdrževanje, avtomatizacijo, procesni inženiring in proizvodnjo, vsaka od njih pa je posamezno videti kot manjši popravek. O naravi spremembe namreč ne odloča njeno interno poimenovanje, temveč njen dejanski vpliv na funkcijo stroja, način krmiljenja, nevarna območja, delovno zaporedje, pogoje za človekovo posredovanje in predvidljive napake pri upravljanju.

V praksi se ta mehanizem pogosto ponavlja. Da bi skrajšali zastoje, se lokalno spremeni zaporedje gibov valja, doda tipalo prisotnosti obdelovanca in dopusti delo z odprtim varovalom v nastavitvenem načinu, ker mora operater videti proces. Čez čas takšna rešitev postane vsakdanja praksa. Ko pride do nesreče, nihče ne zna jasno povedati, kdo je spremembo odobril, katere varnostne predpostavke so bile sprejete, ali je bilo po spremembi preverjeno delovanje zaščitnih funkcij, ali je bilo osebje usposobljeno in ali navodila ustrezajo dejanskemu stanju. Takrat strošek skokovito naraste ne le zato, ker linija stoji, temveč tudi zato, ker obrat izgubi enotno podlago za tehnično obrambo.

V takšnih zadevah niso pomembne ustne izjave, temveč sledovi upravljanja sprememb. Če teh ni, postane vsak naslednji odgovor ad hoc in ga je mogoče zlahka izpodbijati.

• predlog spremembe z opisom cilja, obsega in vpliva na varnost,
• tehnične odobritve in opredelitev odgovornosti za dovolitev obratovanja,
• rezultati preskusov, prevzemov in preverjanja zaščitnih ukrepov,
• posodobitve navodil, postopkov zaklepanja virov energije in potrdila o usposabljanju.

Druga os tveganja zadeva razmerje med minimalnimi zahtevami za stroje v uporabi in obveznostmi, ki lahko nastanejo po predelavi, integraciji ali ponovni uvedbi v uporabo v spremenjeni konfiguraciji. Sam argument, da je stroj deloval več let, ne nadomesti dokazov o presoji minimalnih zahtev, pregledih skladnosti in aktualni oceni, v kakšni postavitvi se danes uporablja. Prvotna EU-izjava o skladnosti proizvajalca je lahko še vedno pomembna, vendar ne daje samodejnega odgovora na vprašanje, ali po predelavi linije ali spremembi logike krmiljenja še vedno opisuje dejansko stanje. Prav zato je treba po nesreči natančno ugotoviti, ali je šlo za popravilo ali za bistveno spremembo stroja, ter ali je predmet analize posamezen stroj ali linija kot sklop strojev.

Odločitve, ki uredijo položaj

Po obvladovanju dogodka ne smemo začeti z vprašanjem, kako hitro znova zagnati proizvodnjo. Najprej je treba določiti, po kakšni logiki se bodo sprejemale nadaljnje odločitve. V praksi to pomeni vzporeden pregled treh ravni: dejanskega tehničnega stanja stroja, popolnosti in usklajenosti dokumentacije ter zgodovine konstrukcijskih, krmilnih in organizacijskih sprememb. Šele takšen okvir daje podlago za verodostojno oceno tveganja.

Če manjka že ena od teh ravni, ima ekipa pred seboj le del slike. Sama okvara še ne pojasni, ali je odpovedala tehnična rešitev, način uporabe ali predhodna sprememba, katere posledic nihče ni formalno ocenil. Iz istega razloga se odločitev o zaustavitvi ne bi smela vedno omejiti le na eno delovno mesto. Če se enaki zaščitni ukrepi, isti krmilni sistem ali podobna sprememba pojavljajo tudi drugje na liniji, je treba obseg zaustavitve določiti širše, še preden pride do sekundarnega dogodka.

Na ravni vodenja je treba ločiti tudi vprašanja obratovanja od vprašanj skladnosti. Najprej je treba ugotoviti, v kakšni vlogi organizacija nastopa glede stroja ali sklopa strojev. Če ostaja uporabnik, mora dokazati vsaj to, da razpolaga z dokumentacijo, dobavljeno s strojem, ter z dokazi o varni uporabi v trenutni delovni ureditvi. Če pa jo obseg predelave, integracije ali spremembe logike delovanja premakne v smer dejanskega proizvajalca, se zahtevana raven utemeljitve jasno poveča. Takrat je potrebna obsežnejša tehnična dokumentacija, ki pojasnjuje sprejete varnostne rešitve, izbiro zaščitnih ukrepov, rezultate preskusov in podlago za sprejeto oceno tveganja.

Uporabna je preprosta matrika za presojo dokumentacije: dokument obstaja, je posodobljen, ni usklajen z dejanskim stanjem stroja ali pa manjka. Takšna razdelitev hitro pokaže, ali gre za formalno pomanjkljivost ali za izgubo nadzora nad tehnično rešitvijo. V praksi je treba odgovoriti na nekaj osnovnih vprašanj: ali obstaja EU-izjava o skladnosti in ali se nanaša na trenutno konfiguracijo, ali so bila navodila za uporabo po spremembah posodobljena, ali so na voljo sheme, seznami varnostnih elementov, zapisniki preskusov, rezultati revizij minimalnih zahtev, evidence pregledov, zaklepanja virov energije in usposabljanj. Odsotnost enega dokumenta še ne pomeni nujno, da je treba stroj trajno izločiti iz obratovanja, vendar hkratno pomanjkanje več ključnih dokazil praviloma pomeni, da obrat ne zna utemeljiti niti načina uporabe niti odločitve o ponovnem zagonu.

• EU-izjava o skladnosti in navodila za uporabo — ali opisujejo trenutno stanje stroja,
• sheme, analiza tveganja, zapisniki prevzema in preskusov — ali utemeljujejo uporabljene varovalne ukrepe,
• evidenca sprememb, rezultati revizij, zapisi pregledov in usposabljanj — ali potrjujejo varno uporabo po spremembah.

Pogosta napaka je enačenje odprave okvare z odpravo vzroka. Zamenjava svetlobne zavese, stikala na zaščitnem pokrovu ali varnostnega modula zadeve ne zaključi, če ni jasno, zakaj zaščita ni več opravljala svoje funkcije ali zakaj je obrat dopustil delo v spremenjenih pogojih. Vrnitev v obratovanje zato ne zahteva le popravila, temveč tudi dokaz, da sta bila odpravljena tehnični in organizacijski vzrok ter da sprejeti način uporabe ustreza trenutnemu stanju stroja, krmiljenja in zaščitnih ukrepov.

V nekaterih primerih zadostujeta ureditev uporabe in preveritev zaščitnih ukrepov pred ponovnim zagonom. V drugih bo potreben širši pregled celotnega sklopa strojev, zunanja revizija ali celovitejša analiza skladnosti, zlasti kadar so spremembe posegle v varnostne funkcije, medsebojno povezane sisteme ali naprave, za katere veljajo ločeni tehnični režimi, kot so tlačne instalacije. Z normativnega vidika tu ni najpomembnejše množenje pravnih podlag, temveč sposobnost izkazati dolžno skrbnost pri presoji skladnosti in uporabi stroja.

Kako se ne vrniti k isti nesreči

Najvrednejši sklep po nesreči se redko nanaša na eno samo napako operaterja. Običajno razkrije način, kako organizacija sprejema odločitve o tehničnih, organizacijskih in programskih spremembah. Če se vpliv spremembe na varnost preverja šele po uvedbi, se naslednji dogodek ne bo nujno ponovil na istem stroju. Pojavil se bo drugje na liniji, pri drugi ekipi in pod drugim imenom projekta.

Zato zaključek krizne situacije ne pomeni, da se v navodila doda ena sama prepoved. Gre za prenovo pravil odločanja: kdo lahko naroči spremembo, kdo opredeli njen vpliv na zaščitne ukrepe, kdo je odgovoren za oceno tveganja in kdo stroj formalno odobri za nadaljnjo uporabo. To je bistvo upravljanja sprememb. Prav tu se pokaže, ali se obrat po dogodku dejansko uči ali pa zgolj ustvarja videz odziva.

V praksi je potreben preprost model, ki pa se uporablja brez izjem. Vsaka tehnična sprememba mora skozi isto zaporedje: opredelitev vpliva na varnost, določitev lastnika odločitve, opredelitev zahtevanih preskusov in prevzemov, posodobitev dokumentacije ter formalno odobritev za uporabo. Ne gre za razraščeno birokracijo, temveč za sled odločanja, ki jo je mogoče rekonstruirati po enem mesecu in po nesreči. Če sprememba zajema krmilni sistem, ograde, nevarno območje, logiko sodelovanja strojev ali način človekovega poseganja v proces, je ni dovoljeno obravnavati kot običajno popravilo.

Po dogodku je takoj vidno tudi, ali je bilo varnost strojev v revizijah minimalnih zahtev dejansko orodje za nadzor pogojev uporabe ali zgolj arhivski obrazec. Dobre revizije omogočajo hiter odgovor na vprašanja, katere zaščite in varovalne naprave bi morale biti na stroju, katera odstopanja so bila že prej ugotovljena, kdo jih je odobril in ali so bili korektivni ukrepi zaključeni. Slabe se končajo pri splošnih navedbah brez dokazne vrednosti. Zato se je po nesreči smiselno vrniti ne le na kraj dogodka, temveč tudi k podobnim spremembam v obratu in preveriti, ali isti mehanizem odločanja ni prisoten širše.

Poseben vir težav ostaja odnos z dobavitelji, integratorji in servisom. Zunanja podpora je lahko tehnično nujna, vendar odgovornosti za to, kar na koncu deluje v obratu, ne prenese navzven. Če organizacija ne zna jasno določiti, kaj je bilo spremenjeno, kdo je potrdil obseg del, kakšne so bile meje odgovornosti izvajalca in ali je bila dokumentacija predana v uporabnem stanju, po nesreči ostane brez lastne podlage za odločanje. Takrat se vrne najtežje vprašanje: ali je uporabnik še vedno samo uporabnik ali pa je zaradi obsega in načina uvedenih sprememb postal subjekt, odgovoren za tehnično rešitev, zato mora razpolagati ne le z uporabniško dokumentacijo, temveč v praksi s celovitejšo dokumentacijo, značilno za oblikovanje tehnične rešitve stroja.

Končni sklep je preprost. Po nesreči prednosti ne prinaša hitrost izjav, temveč kakovost dokazov in doslednost pri odločanju. Prav to odloča, ali bo kriza omejena na en sam dogodek in en zastoj ali pa se bo razvila v dolgotrajen problem odgovornosti, sporov glede obsega sprememb in nadaljnjih prekinitev. Organizacija, ki lahko izkaže logično zaporedje: sprememba, kvalifikacija, preskus, posodobitev dokumentacije, formalno soglasje za uporabo, ima dejansko podlago za obrambo. Organizacija, ki se opira na spomin ljudi in na predpostavko, da je šlo le za manjšo predelavo, se vrača k isti vrsti nesreče tudi takrat, ko se ta ne ponovi v povsem enaki obliki.