Gdy system AI blokuje maszynę: ramy prawne decyzji o zatrzymaniu produkcji

Przez
Artur Tomaszewski
-
0
27
1/5 - (1 vote)

Nawigacja:

Intencja wdrożenia: po co oddawać „stop” w ręce systemu AI

Osoba odpowiedzialna za produkcję, utrzymanie ruchu lub bezpieczeństwo szuka jasnej odpowiedzi: kiedy wolno oprzeć się na systemie AI, który sam zatrzymuje maszynę lub linię, jakie z tego wynikają obowiązki i jak to zrobić tak, żeby nie utopić się w kosztach, papierach i odpowiedzialności karnej.

Najważniejszy cel to takie ustawienie roli systemu AI, by ograniczać wypadki i kosztowne awarie, ale jednocześnie nie generować niekończących się, nieuzasadnionych przestojów. Wszystko w ramach prawa: przepisów BHP, regulacji maszynowych, krajowego prawa pracy oraz nowych wymogów UE dotyczących systemów sztucznej inteligencji wysokiego ryzyka.

Frazy pomocnicze: odpowiedzialność za decyzje AI w przemyśle, zatrzymanie linii produkcyjnej przez algorytm, bezpieczeństwo maszyn a systemy uczące się, prawo pracy i przestoje produkcyjne, due diligence dostawcy AI, dokumentacja decyzji systemu AI, ocena ryzyka przy automatycznym stopie, umowy z dostawcą AI w fabryce, wyjaśnialność decyzji AI w produkcji, zgodność z normami bezpieczeństwa maszyn, kodeks etyczny dla AI w zakładzie przemysłowym, procedury eskalacji po decyzji systemu

Kontekst: gdy algorytm naciska „stop” zamiast człowieka

Scenariusz z hali: system wizji widzi zagrożenie i blokuje maszynę

Na linii pakowania działa system wizyjny oparty na AI. Jego zadanie: wykrywać obecność dłoni operatora w strefie niebezpiecznej blisko noży tnących. Do tej pory chroniły ją wyłącznie kurtyny świetlne i przycisk awaryjny. Teraz dodatkowy moduł analizuje obraz z kamer i w ułamku sekundy podejmuje decyzję – zatrzymać, czy kontynuować cykl.

W pewnym momencie algorytm „widzi” coś, co uznaje za dłoń w strefie zagrożenia. Wyzwala sygnał bezpieczeństwa, maszyna staje, cała linia się zatrzymuje. Po weryfikacji okazuje się, że to nie była ręka człowieka, tylko odblaskowy fragment folii w specyficznym oświetleniu. Produkcja stoi kilka minut, trzeba zresetować system, wyczyścić bufor, tłumaczyć się kierownictwu z kolejnego postoju.

W innej sytuacji ten sam system może jednak uratować zdrowie albo życie, gdy operator wejdzie w strefę cięcia poza standardową procedurą. Tu pojawia się sedno problemu: jak zrównoważyć ryzyko fałszywych alarmów z ryzykiem wypadku i kto formalnie ponosi odpowiedzialność za decyzję, która realnie wychodzi z modelu AI.

Dlaczego firmy powierzają decyzję o zatrzymaniu AI

Oddanie decyzji „stop” w ręce algorytmu nie jest fanaberią, tylko odpowiedzią na bardzo konkretne problemy:

  • koszt wypadków i przestojów awaryjnych – każdy poważniejszy wypadek to nie tylko odszkodowania, ale też przestój, śledztwa, utrata kontraktów i reputacji;
  • szybkość reakcji – człowiek nie jest w stanie zareagować z milisekundową precyzją, a wiele układów mechanicznych czy elektrycznych wymaga natychmiastowej decyzji;
  • braki kadrowe – coraz mniej doświadczonych operatorów i automatyków, więcej osób rotuje; AI może kompensować braki praktycznej wiedzy zespołu;
  • złożoność nowych instalacji – linie są coraz bardziej zintegrowane; wczesne wykrycie odchyleń wymaga analizy dużej ilości danych, w czym klasyczne czujniki i proste progi alarmowe bywają niewystarczające.

Dla wielu zakładów system AI zatrzymujący produkcję jest nie tyle „dodatkiem”, ile jedyną realną szansą na ogarnięcie złożonego ryzyka przy ograniczonym budżecie kadrowym. To jednak nie zwalnia nikogo z odpowiedzialności – zmienia tylko narzędzia, jakimi się posługuje.

Co jest naprawdę nowe w decyzji „stop” podejmowanej przez AI

Same układy awaryjnego zatrzymania nie są niczym nowym. Od dawna maszyny mają przyciski STOP, kurtyny świetlne, czujniki bezpieczeństwa. Różnica polega na tym, że klasyczne systemy działają według prostych, deterministycznych zasad: jeśli sygnał X przekroczy próg Y, zatrzymaj maszynę. Da się to dość łatwo opisać, przetestować i certyfikować.

System AI działa inaczej:

  • opiera się na modelach statystycznych i wzorcach uczonych na danych historycznych,
  • jego decyzja ma charakter probabilistyczny – zawsze istnieje niezerowe ryzyko błędu,
  • często jest nie do końca „przezroczysty” – trudno zrozumieć, dlaczego w danym momencie wydał taką, a nie inną decyzję.

To właśnie ta nieprzejrzystość i statystyczny charakter decyzji powoduje, że prawo i praktyka zakładowa muszą się zmienić. Przycisk awaryjny ma prostą logikę. System AI blokujący maszynę wymaga innej dokumentacji, innych testów i innego nadzoru, a także jasnego przypisania odpowiedzialności, gdy coś pójdzie nie tak.

Stawka biznesowa: między stratą z przestoju a ryzykiem prokuratora

Z perspektywy zarządu i kierownictwa produkcji każda decyzja „stop” ma wymierną cenę. Kilka nieplanowanych minut postoju na kluczowej linii to często:

  • zmarnowane materiały i półprodukty,
  • opóźnienia w dostawach do kluczowych klientów,
  • nadgodziny, żeby „nadgonić” plan,
  • rosnące napięcie w zespole i presja na „wyłączenie tego nieszczęsnego systemu”.

Z drugiej strony zignorowanie ostrzeżeń, świadome obniżanie czułości czy wyłączanie automatycznego zatrzymania może skończyć się realną odpowiedzialnością karną i cywilną, jeśli dojdzie do wypadku. Organy nadzoru i sądy coraz częściej pytają nie tylko „czy był czujnik”, ale też jak był skonfigurowany, kto to zatwierdził i na jakiej podstawie.

Realny dylemat brzmi więc: jak ustawić system AI tak, by łącznie minimalizować koszty – zarówno te z przestojów, jak i te z wypadków czy sporów sądowych. I tu wchodzą w grę przepisy: określają one minimalny poziom bezpieczeństwa, poniżej którego biznesowa „optymalizacja” przestaje być dozwolona.

Podstawy prawne: jakie przepisy regulują zatrzymanie produkcji przez AI

Ramy unijne: AI Act, prawo maszynowe i BHP

System AI, który blokuje maszynę lub linię, nie żyje w próżni prawnej. W praktyce dotykają go równocześnie trzy grupy regulacji unijnych:

  • AI Act – ogólne rozporządzenie UE w sprawie sztucznej inteligencji, klasyfikujące m.in. systemy przemysłowe wpływające na bezpieczeństwo ludzi jako systemy wysokiego ryzyka;
  • przepisy dotyczące maszyn – dotychczas dyrektywa maszynowa i powiązane normy, zastępowane przez rozporządzenie w sprawie maszyn, które wprost zakładają istnienie elementów bezpieczeństwa sterowanych oprogramowaniem;
  • prawo BHP – zarówno unijne dyrektywy ramowe, jak i ich implementacja w prawie krajowym: obowiązek zapewnienia bezpiecznych warunków pracy, oceny ryzyka, stosowania środków ochronnych adekwatnych do zagrożeń.

AI Act nie zastępuje przepisów maszynowych ani BHP. Dokłada kolejną warstwę, określając szczególne wymagania wobec systemów AI, które wpływają na zdrowie i bezpieczeństwo ludzi. Jeżeli system AI podejmuje lub współpodejmuje decyzję o zatrzymaniu maszyny, w praktyce trafia w obszar regulacji o najwyższym rygorze.

Prawo krajowe: kodeks pracy, cywilny i przepisy karne

Na poziomie krajowym wchodzą w grę przede wszystkim:

  • kodeks pracy – obowiązek zapewnienia bezpiecznych i higienicznych warunków pracy, organizowania pracy w sposób niepowodujący zagrożeń, reagowania na sygnały o niebezpieczeństwach;
  • ustawy i rozporządzenia BHP – wymagania techniczne i organizacyjne, w tym dotyczące maszyn, środków ochrony, szkoleń i dokumentacji;
  • kodeks cywilny – odpowiedzialność odszkodowawcza (deliktowa, kontraktowa) za szkody wyrządzone przez wadliwe urządzenia, błędne decyzje systemów, zaniedbania w nadzorze;
  • prawo karne – odpowiedzialność za narażenie na niebezpieczeństwo, spowodowanie wypadku przy pracy w wyniku niedopełnienia obowiązków, w tym obowiązków w zakresie BHP.

Przepisy nie wspominają literalnie o „algorytmie” zatrzymującym linię, ale używają pojęć takich jak urządzenie techniczne, środek ochrony zbiorowej, organizacja pracy. System AI wpada w te kategorie jako element organizacji i zabezpieczenia procesu.

I tu kluczowa zasada: odpowiedzialność za bezpieczeństwo pracy spoczywa na pracodawcy i osobach zarządzających zakładem. To, że używają zaawansowanego systemu AI, może być okolicznością łagodzącą (podjęto dodatkowe środki), ale nie przerzuca ciężaru odpowiedzialności na „algorytm”.

Kto formalnie „podejmuje decyzję”, gdy to AI wyzwala stop

Z prawnego punktu widzenia decyzję o zatrzymaniu linii czy maszyny podejmuje nie tyle sam model AI, ile podmiot, który go wdrożył i skonfigurował. Wynik modelu jest jednym z sygnałów w systemie sterowania, ale:

  • to człowiek (lub organizacja) określa progi, przy których system ma wysłać sygnał STOP,
  • ktoś zatwierdza scenariusze reakcji (np. pełne zatrzymanie, spowolnienie, tryb safe),
  • ktoś decyduje, czy system jest „doradcą” dla operatora, czy ma prawo samoczynnego zatrzymania.

W praktyce formalnym decydentem jest właściciel lub zarządca zakładu, reprezentowany przez osoby odpowiedzialne za bezpieczeństwo techniczne, produkcję i BHP. Dostawca AI jest odpowiedzialny za produkt (jego zgodność z deklarowanymi cechami, brak wad), ale to użytkownik decyduje, jak go użyje i zintegrował z maszyną.

W umowach z dostawcami AI coraz częściej pojawiają się zapisy, że system „ma charakter rekomendacyjny” lub że „ostateczna decyzja należy do użytkownika”. Nawet jeśli technicznie system sam wyzwala stop, prawnie i biznesowo uznaje się, że to element infrastruktury bezpieczeństwa kontrolowanej przez zakład.

Ogólna zasada: AI nie zdejmuje odpowiedzialności z zakładu

Regulacje unijne i krajowe są w jednym punkcie spójne: użycie sztucznej inteligencji nie zwalnia z ogólnych obowiązków ostrożności i należytej staranności. Właściciel zakładu nie może powiedzieć: „to nie nasza wina, to AI źle oceniła sytuację”.

Jeśli dochodzi do wypadku lub sporu sądowego, biegli i organy nadzoru będą badać m.in.:

  • czy wybór i konfiguracja systemu AI były racjonalne i poparte analizą ryzyka,
  • czy wykonano testy i odbiory, zanim powierzono mu decyzje o zatrzymaniu produkcji,
  • czy istniały procedury eskalacji i weryfikacji po decyzji systemu,
  • czy personel był przeszkolony w obsłudze i rozumiał ograniczenia systemu.

Jeżeli czegoś z tego zabrakło, odpowiedzialność spadnie na pracodawcę, kierownictwo, ewentualnie integratora systemu, a dopiero w dalszej kolejności – na producenta samego rozwiązania AI. To fundament, na którym trzeba budować wszystkie dalsze decyzje techniczne i organizacyjne.

Pusta hala fabryczna z ciężkimi maszynami w przytłumionym świetle
Źródło: Pexels | Autor: Yetkin Ağaç

Kluczowe pojęcia: autonomia decyzji, wspomaganie i rola człowieka

System wspierający a system decyzyjny: dwa różne światy

Najważniejsze rozróżnienie, które przekłada się na wymagania prawne i koszty wdrożenia, to różnica między:

  • systemem wspierającym – AI analizuje dane i generuje rekomendację (np. „zatrzymaj linię”, „zmniejsz prędkość”, „wezwij utrzymanie ruchu”), ale ostateczną decyzję podejmuje człowiek;
  • systemem decyzyjnym – AI ma formalnie nadane uprawnienia do samodzielnego wyzwalania zatrzymania, bez dodatkowego potwierdzenia ludzkiego.

W pierwszym wariancie AI jest podobna do zaawansowanego czujnika z analityką – podpowiada, ostrzega, ale nie ma ostatniego słowa. W drugim – staje się elementem układu bezpieczeństwa, podobnym rangą do klasycznych przekaźników bezpieczeństwa czy sterowników Safety PLC. To automatycznie:

  • podnosi wymagania testów i walidacji,
  • zwiększa wymagania dokumentacyjne,
  • zmienia zakres odpowiedzialności dostawcy, integratora i użytkownika.

Na etapie planowania projektu wiele zakładów wybiera wariant mieszany: początkowo AI działa jako system wspierający (alarm, rekomendacja), a dopiero po zebraniu doświadczeń i danych o skuteczności, część funkcji zostaje „podniesiona” do poziomu decyzyjnego.

Poziomy autonomii: jak „dawkować” decyzyjność AI w świetle prawa i zdrowego rozsądku

Zamiast skakać od razu na pełną autonomię, da się zbudować stopniowane poziomy uprawnień systemu. To pomaga zarówno spełnić wymagania prawne, jak i utrzymać koszty pod kontrolą.

Praktyczny podział, który dobrze „klei się” z oczekiwaniami inspekcji i biegłych, wygląda często tak:

  • Poziom 0 – obserwator: AI wyłącznie monitoruje, generuje raporty, podświetla anomalie, ale nie wysyła nawet alarmów on‑line. Użyteczne na etapie pilota, kiedy zakład chce „wyczuć” jakość modeli bez ingerencji w produkcję.
  • Poziom 1 – doradca: AI generuje alarmy i rekomendacje (pop-up, SMS, sygnał HMI), lecz operator ma pełną swobodę reakcji. Ten wariant stosunkowo łatwo wdrożyć przy ograniczonych wymaganiach formalnych.
  • Poziom 2 – współdecydujący: AI może zainicjować zatrzymanie, ale wymaga potwierdzenia człowieka (np. „potwierdź stop w 10 s, inaczej linia zwolni do x%”). To kompromis między bezpieczeństwem a unikaniem fałszywych przestojów.
  • Poziom 3 – decydent bezpieczeństwa: AI ma prawo natychmiastowego zatrzymania, gdy rozpozna zagrożenie. W tym trybie wchodzi w pełni w reżim systemu bezpieczeństwa – rosną koszty testów, certyfikacji i dokumentacji, ale także siła argumentów w razie sporu, że zakład zrobił „więcej niż minimum”.

Projektując wdrożenie, da się z góry rozpisać ścieżkę: od Poziomu 0 do 2 w ciągu np. roku, a dopiero potem selektywne przechodzenie wybranych funkcji na Poziom 3. To dobrze wygląda w dokumentacji ryzyka i przed organami nadzoru – widać, że decyzje o autonomii były stopniowane, a nie „wrzucone z dnia na dzień”.

„Human in the loop” a „human on the loop”: jak opisać rolę operatora w regulaminach

AI Act oraz prawo BHP nie narzucają konkretnego schematu współpracy człowiek–AI, ale oczekują, że rola człowieka będzie jasno opisana i realna, a nie tylko „na papierze”. W praktyce zakład musi odpowiedzieć sobie na kilka prostych pytań, które później pojawią się też w protokole powypadkowym:

  • czy operator może zakwestionować decyzję AI (np. cofnąć zatrzymanie), a jeśli tak – w jakich ramach i z jakim uzasadnieniem,
  • czy są sytuacje, w których operator nie może zignorować ostrzeżenia (np. „czerwony alarm bezpieczeństwa zawsze wymaga stop”),
  • kto ma prawo zmieniać parametry systemu AI (progi, tryby pracy) i jak to jest rejestrowane.

Z punktu widzenia prawa ta rola powinna być „przekuta” na konkretne obowiązki stanowiskowe. Zamiast ogólnego zdania „operator współpracuje z systemem AI”, lepiej użyć sformułowań typu:

  • „Operator ma obowiązek reakcji na alarm poziomu 2 w czasie nie dłuższym niż 30 s poprzez wybór jednej z opcji: zatrzymanie, spowolnienie, odrzucenie alarmu z uzasadnieniem”.
  • „Operator nie jest uprawniony do trwałego wyłączania funkcji bezpieczeństwa systemu AI; takie zmiany może wprowadzić wyłącznie inżynier procesu po zatwierdzeniu przez służby BHP”.

Takie zapisy są tanie do wdrożenia (to głównie praca nad regulaminami i instrukcjami), a w razie wypadku pomagają wykazać, że zakład realnie uregulował współpracę człowiek–AI, a nie tylko „uruchomił algorytm”.

Konfiguracja progów zatrzymania: jak bronić ustawień przed inspekcją i sądem

Od „intuicji inżyniera” do udokumentowanej metodyki

Największym błędem, który później wychodzi w postępowaniu, jest konfigurowanie progów zatrzymania na wyczucie. „Daliśmy taki próg, żeby za często nie stawało” to przepis na problemy, jeśli dojdzie do wypadku. Z prawnego punktu widzenia progi zatrzymania powinny być powiązane z:

  • wynikami oceny ryzyka zawodowego i/lub analizy ryzyka maszynowego (np. wg PN-EN ISO 12100),
  • danymi z testów i pilota, pokazującymi, przy jakich ustawieniach pojawiały się zdarzenia niebezpieczne albo quasi-incydenty,
  • normami branżowymi – tam, gdzie istnieją (np. normy bezpieczeństwa funkcjonalnego, wskaźniki SIL/PL, normy sektorowe).

Nie chodzi o to, by od razu kupować drogie audyty w każdej fabryce. Minimalna wersja „budżetowa” to arkusz kalkulacyjny lub prosty protokół, gdzie dla każdego progu są zapisane:

  • opis zagrożenia, które ma redukować (np. kolizja robota z człowiekiem przy prędkości powyżej X),
  • źródło danych wejściowych (pomiar, statystyka awarii, analiza HAZOP itp.),
  • kto zatwierdził wartość progu (produkcja, BHP, utrzymanie ruchu),
  • kiedy i na jakiej podstawie planowana jest pierwsza aktualizacja ustawień.

Taki „rejestr decyzji konfiguracyjnych” kosztuje niewiele, natomiast stanowi mocny argument na wypadek kontroli, że progi nie zostały wzięte z sufitu i były przedmiotem świadomego kompromisu bezpieczeństwo–ciągłość produkcji.

Fałszywe alarmy vs fałszywe bezpieczeństwo: jak dokumentować kompromis

Jeżeli AI zbyt często zatrzymuje linię, presja produkcji jest nieunikniona. Z perspektywy odpowiedzialności kluczowe jest, żeby proces „odkręcania czułości” był ucywilizowany, a nie polegał na doraźnych zmianach w nocy przez zmęczonego mistrza zmiany.

Bezpieczny i rozsądny kosztowo model zarządzania czułością zakłada zwykle trzy proste kroki:

  1. Rejestracja zdarzeń – każde zatrzymanie wywołane przez AI ma wpis w logu: czas, przyczyna, numer stanowiska, reakcja operatora (np. uznano za fałszywy alarm). To często można zrealizować w już istniejącym systemie SCADA/MES bez dużych inwestycji.
  2. Przegląd okresowy – np. raz w miesiącu zespół mieszany (produkcja, BHP, utrzymanie ruchu, czasem integrator AI) analizuje statystykę alarmów i proponuje korekty. Protokół z takiego spotkania staje się dokumentem, na który można powołać się w postępowaniu.
  3. Wdrożenie zmian z testem – każda modyfikacja progu powinna być połączona z krótkim testem (nawet 1–2 godziny w bezpiecznych warunkach) i notatką z wnioskami. W wielu przypadkach wystarczy prosty formularz papierowy lub elektroniczny.

Dzięki temu można w sądzie pokazać, że fałszywe alarmy były realnym problemem produkcyjnym, ale decyzje o ich ograniczeniu były podejmowane po analizie danych i z udziałem służb odpowiedzialnych za bezpieczeństwo, a nie „pod presją wyniku na koniec miesiąca”.

Dokumentacja i dowody: co trzeba mieć „na półce”, zanim coś się stanie

Minimalny pakiet dokumentów broniący zakład

Rozbudowana dokumentacja jest kosztowna, ale kompletny brak papieru – jeszcze droższy, gdy dochodzi do wypadku. Można celować w realistyczny, minimalny pakiet, który zwykle wystarcza, by pokazać dochowanie należytej staranności:

  • Opis funkcji AI w języku nietechnicznym – kilka stron wyjaśniających, co system robi, jakie ma tryby, jakie są granice jego użycia. To może być fragment instrukcji stanowiskowej.
  • Raport z oceny ryzyka – niekoniecznie pełne kilkudziesięciostronicowe opracowanie z konsultingowej korporacji. Wystarczy spójna tabela: zagrożenie – istniejące zabezpieczenia – rola AI – poziom ryzyka przed/po.
  • Procedura zmiany konfiguracji – kto może zmieniać parametry, jak jest to zatwierdzane, jak logowane. Nawet proste upoważnienia i matryca ról potrafią zrobić różnicę.
  • Protokół odbioru i testów – zestaw scenariuszy testowych (w tym awaryjnych), daty, podpisy. To może być jednorazowy wysiłek przy wdrożeniu, później tylko uzupełniany przy większych zmianach.
  • Rejestr incydentów i zatrzymań – w wielu zakładach coś takiego już istnieje; trzeba jedynie dodać kolumnę: „Udział AI / przyczyna zatrzymania”.

Przy budżetowym podejściu większość tych materiałów da się opracować własnymi siłami (BHP, inżynier procesu, kierownik produkcji), zamawiając na zewnątrz jedynie wsparcie punktowe: np. przegląd oceny ryzyka czy konsultację struktury testów.

Logi, wersjonowanie i „czarna skrzynka” systemu AI

Przy każdym systemie, który może zatrzymać produkcję, kluczowy staje się dostęp do historii działania. To nie musi oznaczać drogiego, dedykowanego systemu „black box”. W wielu przypadkach wystarczy, aby:

  • AI zapisywała kluczowe decyzje (rekomendacje, wyzwolenia stop) wraz z podstawowymi danymi wejściowymi lub ich streszczeniem,
  • istniał rejestr zmian konfiguracji (kto, kiedy, co zmienił), najlepiej z możliwością przywrócenia poprzedniej wersji,
  • logi były przechowywane przez sensowny okres – co najmniej tyle, ile typowo trwają postępowania powypadkowe lub spory z kontrahentami.

Jeżeli dostawca AI deklaruje, że „loguje wszystko w chmurze”, dobrze jest zadbać o proste kwestie:

  • kto ma dostęp do logów i na jakich zasadach,
  • jak szybko zakład otrzyma eksport danych po wypadku lub żądaniu organów,
  • czy istnieje możliwość prowadzenia lokalnej kopii krytycznych logów (np. na serwerze zakładowym lub w systemie SCADA).

Brak logów to nie tylko problem techniczny. Z perspektywy organów nadzoru może zostać odczytany jako zaniedbanie w obszarze nadzoru nad systemem bezpieczeństwa, co zwiększa ryzyko odpowiedzialności osobistej menedżerów.

Odpowiedzialność dostawcy AI i integratora: co da się wpisać do umowy

Zakres odpowiedzialności – co realnie można przerzucić, a czego nie

Choć zakład nie może przerzucić na dostawcę ogólnej odpowiedzialności za bezpieczeństwo pracy, umowa może sensownie rozłożyć ciężar ryzyka technologicznego. Zwykle kluczowe są cztery obszary:

  1. Gwarantowane funkcje bezpieczeństwa – np. minimalny czas reakcji, zakres scenariuszy wykrywanych przez AI, dostępność systemu. Im bardziej funkcja przypomina klasyczny element bezpieczeństwa, tym wyższe wymagania i oczekiwana odpowiedzialność dostawcy.
  2. Jakość i integralność oprogramowania – odpowiedzialność za błędy implementacji, testy regresji przy aktualizacjach, obsługa podatności bezpieczeństwa (cyber).
  3. Wsparcie przy ocenie ryzyka i testach – dostawca nie musi robić całej oceny ryzyka, ale może odpowiadać za dostarczenie danych, raportów z testów, instrukcji konfiguracyjnych. To relatywnie tani sposób na wzmocnienie pozycji zakładu.
  4. Szkolenie i dokumentacja – jasny zakres, ilu pracowników zostanie przeszkolonych, ile godzin wsparcia remote jest wliczonych w cenę, jakie materiały zakład dostanie w pakiecie.

Nie ma sensu przepłacać za bardzo szerokie klauzule odpowiedzialności, jeśli i tak nie da się ich wyegzekwować w praktyce. Lepiej w ramach budżetu dopilnować, by konkretne, mierzalne parametry bezpieczeństwa i wsparcia były w umowie opisane jasno, wraz z prostym mechanizmem reklamacyjnym.

Klauzule „rekomendacyjności” a faktyczny sposób użycia systemu

Coraz częściej w umowach pojawiają się sformułowania typu: „system ma charakter wyłącznie rekomendacyjny, decyzje podejmuje użytkownik”. Gdy jednak w praktyce integracja powoduje, że to AI automatycznie wyzwala zatrzymanie linii, taki zapis ma ograniczoną wartość, a wręcz może zostać uznany za próbę obejścia regulacji.

Bezpieczniejsze (i bardziej uczciwe) rozwiązania kontraktowe to m.in.:

  • rozróżnienie trybów pracy: „rekomendacyjny” vs „autonomiczny”, z opisem, który z nich jest zalecany w danych konfiguracjach i jakie warunki muszą być spełnione dla trybu autonomicznego (np. wykonanie określonych testów, szkolenia personelu),
  • wymóg prowadzenia rejestru trybu pracy – dostawca nie odpowiada za sytuacje, gdy zakład samowolnie przełączył się na tryb autonomiczny z pominięciem ustaleń, ale jednocześnie zakład ma dowód, że przełączenie miało formę świadomej decyzji,

    • Granice odpowiedzialności przy samouczeniu i aktualizacjach

    Specyficznym polem sporu przy systemach AI jest samouczenie i zdalne aktualizacje. Z punktu widzenia prawa i odpowiedzialności lepiej, jeśli nie ma „magii”: ktoś konkretny powinien odpowiadać za to, że model zmienił swoje zachowanie.

    Przy negocjowaniu umowy warto uporządkować kilka spraw:

  • Tryb samouczenia – czy system uczy się w sposób ciągły na danych z zakładu, czy tylko okresowo, w ramach kontrolowanych aktualizacji producenta. Tryb ciągłego samouczenia powinien mieć formalnego właściciela po stronie dostawcy lub integratora, z opisem mechanizmów kontroli (np. walidacja na zestawie testowym przed wdrożeniem nowej wersji modelu).
  • Zgoda na aktualizacje – wiele umów przewiduje automatyczne wgrywanie nowych wersji oprogramowania. W kontekście bezpieczeństwa rozsądniejsze jest „aktualizacje za zgodą”, przynajmniej dla elementów mających wpływ na funkcje ochronne. Zgoda może być uproszczona (e‑mail, kliknięcie w panelu), ale powinna zostawić ślad.
  • Opis wpływu aktualizacji – dostawca powinien każdorazowo dostarczyć krótką informację: jakie moduły się zmieniają, czy dotyczy to logiki bezpieczeństwa, czy tylko np. ergonomii interfejsu lub wydajności.
  • Prawo do rollbacku – uzgodniony, technicznie realny mechanizm powrotu do poprzedniej wersji przy wykryciu problemów. Nawet jeśli jego użycie jest rzadkie, sama możliwość często studzi zapędy do zbyt agresywnych, nieprzetestowanych zmian.

W części sporów po wypadkach kluczowe jest ustalenie, która wersja systemu działała w danym dniu i kto zdecydował o jej instalacji. Jasne zapisy umowne oraz rejestr aktualizacji znacznie ułatwiają obronę – niezależnie od tego, po której stronie się stoi.

Limit odpowiedzialności, kary umowne i ubezpieczenie

Większość dostawców oprogramowania forsuje limity odpowiedzialności na poziomie wartości kontraktu lub jego wielokrotności. Z perspektywy zakładu może to wyglądać jak próba „ucieczki od odpowiedzialności”, ale nierzadko jest to po prostu standard branżowy. Zamiast walczyć o abstrakcyjnie wysokie limity, często rozsądniej jest:

  • powiązać limit z konkretnymi funkcjami bezpieczeństwa – np. wyższy limit (lub osobna polisa) dla modułu, który realnie wyzwala zatrzymanie maszyny, niż dla raportowania KPI,
  • uzależnić część płatności od przejścia testów odbiorczych dla scenariuszy krytycznych z punktu widzenia bezpieczeństwa,
  • wymagać potwierdzenia ubezpieczenia OC dostawcy, wprost obejmującego szkody wynikłe z błędów oprogramowania (przynajmniej do poziomu, jaki zakład uznaje za minimalnie rozsądny).

Kary umowne za niedostępność systemu lub brak reakcji serwisu można ustawiać w sposób prosty, oparty na czasie przestoju lub czasie reakcji. W praktyce mobilizuje to dostawcę bardziej niż teoretyczna, wysoka odpowiedzialność odszkodowawcza, której dochodzenie zajmie lata.

Linia produkcyjna w działającej hucie szkła w Dar es Salaam
Źródło: Pexels | Autor: Keegan Checks

Relacja z organami nadzoru: jak rozmawiać, gdy za zatrzymaniem stoi AI

Komunikacja po wypadku lub incydencie

Gdy zdarzy się wypadek lub poważny incydent, a w tle działa system AI, naturalną reakcją jest chęć „schowania” elementu sztucznej inteligencji, żeby nie komplikować sprawy. To zrozumiałe, ale krótkowzroczne. Inspektorzy coraz częściej pytają wprost o systemy wspomagające decyzje, a zatajenie takich informacji może zostać odebrane jako brak współpracy.

Praktyczne minimum to przygotowanie z góry krótkiego opisu, który można przekazać organom:

  • jaką funkcję pełniła AI w konkretnym miejscu (np. wyłącznie rekomendacje, czy także automatyczne zatrzymania),
  • jakie były granice jej działania (np. do jakiego momentu decyzje były w ręku człowieka),
  • jakie procedury istniały wokół systemu (szkolenia, przeglądy, testy),
  • gdzie znajdują się logi i kto ma do nich dostęp.

Taki dokument – najlepiej przygotowany wspólnie przez BHP, dział prawny i inżyniera odpowiedzialnego za system – oszczędza nerwowych tłumaczeń „na gorąco”, kiedy każdy szczegół jest istotny, a czas goni.

Pokazanie „należytej staranności” krok po kroku

Inspektor nie oczekuje pełnej znajomości algorytmów sieci neuronowych, tylko racjonalnego nadzoru nad narzędziem. Podczas kontroli warto umieć przeprowadzić organ przez prostą ścieżkę:

  1. Dlaczego AI została wdrożona – np. wysoka liczba zdarzeń potencjalnie wypadkowych, potrzeba monitoringu trudno dostępnych miejsc, konieczność skrócenia reakcji na anomalie.
  2. Jak była testowana – zestaw scenariuszy, udział operatorów, ewentualne poprawki po pilotażu.
  3. Jak jest nadzorowana – kto odpowiada za ustawienia, jak często są przeglądane logi, jak reaguje się na błędne decyzje systemu.
  4. Jak personel został przygotowany – szkolenia wstępne, materiały stanowiskowe, egzaminy, okres „podwójnego nadzoru” (AI + doświadczony operator).

Ta sekwencja, nawet jeśli udokumentowana w oszczędnej formie (kilka protokołów, krótkie procedury), często wystarcza, by organ uznał, że zakład nie potraktował AI jako „magicznej czarnej skrzynki”, ale jako narzędzie podlegające normalnym regułom inżynierii bezpieczeństwa.

Szkolenie i kultura organizacyjna wobec decyzji AI

Rola operatora, mistrza i kierownika zmiany

Nawet najbardziej wyrafinowany system nie zastąpi prostych, ludzkich odruchów, takich jak zatrzymanie maszyny, gdy „coś wygląda źle”. W praktyce głównym ryzykiem nie jest bunt AI, tylko błędna reakcja załogi na decyzje systemu: ignorowanie alarmów, obchodzenie blokad, nadmierne poleganie na wskazaniach.

Materiały szkoleniowe warto zbudować wokół kilku jasnych zasad:

  • AI nie znosi odpowiedzialności osobistej – operator nadal ma obowiązek zatrzymania maszyny, gdy uzna sytuację za niebezpieczną, nawet jeśli AI „nic nie widzi”.
  • Każde obejście decyzji AI zostawia ślad – i wymaga krótkiego uzasadnienia (check‑box, kilka słów w systemie). Chodzi nie o karanie, lecz o to, by możliwa była późniejsza analiza.
  • Mistrz zmiany ma prawo „wcisnąć pauzę” AI w sytuacji awaryjnej, ale powinien to odnotować i zgłosić – z jasno opisaną ścieżką zgłoszenia (bez biurokracji, najlepiej prosty formularz lub zgłoszenie w aplikacji).

Przykładowo: jeśli AI kilka razy z rzędu zatrzymuje linię „bez powodu”, naturalna jest irytacja. Jeżeli jednak każda decyzja o obejściu jest notowana, dział techniczny szybko widzi, że w danym obszarze coś jest źle skonfigurowane i może to skorygować, zanim przerodzi się to w trwały nawyk omijania systemu.

Proste ćwiczenia zamiast drogich warsztatów

Zamiast inwestować w kosztowne szkolenia „AI w przemyśle” dla całej załogi, większy efekt dają krótkie, dobrze zaplanowane ćwiczenia przy stanowisku pracy. Mogą mieć formę 30–40‑minutowych sesji na początku zmiany:

  • symulacja fałszywego alarmu AI i przećwiczenie reakcji: kto potwierdza, kto decyduje o wznowieniu produkcji, jak wygląda wpis do rejestru,
  • scenariusz, w którym AI nie reaguje, a operator zauważa niebezpieczną sytuację: ćwiczenie odruchu zatrzymania, mimo braku sygnału z systemu,
  • omówienie jednego realnego przypadku z zakładu lub z branży – co zadziałało, co zawiodło, jakie wnioski wdrożono.

Takie ćwiczenia można prowadzić siłami własnymi (mistrz zmiany, BHP), bazując na prostym skrypcie. Koszt jest niewielki, a utrwala się zdrowe podejście: AI pomaga, ale nie jest nieomylnym sędzią.

Specyfika branżowa: gdy AI zatrzymuje różne typy procesów

Procesy ciągłe i instalacje wysokiego ryzyka

W zakładach chemicznych, rafineryjnych czy energetycznych zatrzymanie instalacji przez AI może oznaczać nie tylko koszty, lecz także nowe rodzaje zagrożeń (np. skoki ciśnienia, niekontrolowane chłodzenie lub nagrzewanie). Dlatego sposób „podpięcia” AI do układu sterowania wymaga dodatkowej rozwagi.

Przy procesach ciągłych warto w regulacjach wewnętrznych jasno rozdzielić:

  • AI monitorującą – która jedynie generuje ostrzeżenia lub rekomendacje dla operatora DCS/SCADA,
  • AI sterującą – która może wywołać automatyczne sekwencje odstawienia (shutdown) lub inne działania ingerujące w proces.

Dla tej drugiej grupy sensowne jest wprowadzenie dodatkowych wymogów: analiza HAZOP/LOPA z udziałem dostawcy AI, scenariusze testowe zbliżone do tych przygotowywanych dla klasycznych systemów SIS, a także bardziej rozbudowane logowanie decyzji. Nawet jeśli wiąże się to z wyższym kosztem wdrożenia, alternatywą bywa brak możliwości wykazania, że awaryjne odstawienie instalacji nastąpiło w sposób kontrolowany.

Linie dyskretne i montażowe

Na liniach montażowych ryzyko katastrofalnego wypadku bywa mniejsze niż w procesach chemicznych, lecz skala fałszywych alarmów może być zdecydowanie wyższa. Tam kluczowy staje się rozsądny kompromis między bezpieczeństwem a ciągłością.

Praktycznie sprawdza się podejście kaskadowe:

  • AI w pierwszej kolejności wyzwala ostrzeżenie lokalne (sygnał świetlny, krótki sygnał dźwiękowy, komunikat na panelu),
  • po potwierdzeniu przez operatora lub po przekroczeniu czasu bez reakcji – dopiero zatrzymanie sekcji linii, a nie całego ciągu,
  • całkowite zatrzymanie linii zarezerwowane jest dla jasno opisanych, najpoważniejszych scenariuszy, z dodatkowymi zabezpieczeniami (np. weryfikacja przez drugi czujnik lub logikę PLC).

Z prawnego punktu widzenia taki stopniowany mechanizm łatwiej obronić: można pokazać, że system nie był „nadwrażliwy”, ale też nie ignorował niepokojących sygnałów. Dodatkowo ogranicza się presję operatorów, którzy nie muszą „walczyć” z AI zatrzymującą całą halę przy każdej wątpliwej sytuacji.

Integracja AI z istniejącymi systemami bezpieczeństwa maszyn

Rozdzielenie warstw bezpieczeństwa

Europejskie i polskie regulacje dotyczące maszyn opierają się na założeniu, że podstawowe funkcje bezpieczeństwa są realizowane przez sprawdzone środki techniczne (kurtyny świetlne, wyłączniki awaryjne, sterowniki bezpieczeństwa), a nie przez systemy oparte wyłącznie na statystycznych modelach danych.

Dlatego przy projektowaniu integracji AI rozsądnie jest traktować ją jako dodatkową warstwę, a nie substytut zabezpieczeń wymaganych przez normy. W praktyce oznacza to m.in.:

  • niezależną ścieżkę zatrzymania awaryjnego (E‑STOP), zrealizowaną klasycznymi środkami,
  • oddzielenie logiki „twardego bezpieczeństwa” (PLC safety) od logiki AI – ta druga powinna raczej generować sygnał „żądanie zatrzymania”, który jest weryfikowany w kontrolowany sposób,
  • jasny opis w dokumentacji technicznej maszyny: które funkcje są bezpieczne w rozumieniu norm, a które są funkcjami wspomagającymi, opartymi na AI.

Nie chodzi o to, by deprecjonować AI, ale by w razie wypadku nie okazało się, że kluczowe funkcje bezpieczeństwa były oparte wyłącznie na rozwiązaniach, których producent maszyny nie przewidział i nie ocenił w ramach swojej analizy ryzyka.

Modernizacja starych maszyn a obowiązki „nowego wytwórcy”

Dodanie systemu AI do istniejącej maszyny może w skrajnych przypadkach spowodować, że zakład lub integrator zostanie uznany za „wytwórcę zmodernizowanej maszyny”. To rodzi dodatkowe obowiązki: ocenę zgodności, dokumentację techniczną, a czasem nawet nowe oznakowanie CE.

Aby nie wejść w ten obszar nieświadomie, przed większą modernizacją warto wykonać krótki „screening prawny”:

  • czy planowana integracja zmienia zasadniczo funkcję lub parametry bezpieczeństwa maszyny,
  • czy nowe elementy sterowania AI mają możliwość bezpośredniego sterowania napędami, czy jedynie wysyłają sygnały do istniejącej logiki bezpieczeństwa,

    • Najczęściej zadawane pytania (FAQ)

    Czy mogę legalnie powierzyć systemowi AI decyzję o zatrzymaniu maszyny?

    Tak, ale tylko pod warunkiem spełnienia konkretnych wymogów bezpieczeństwa, prawa pracy oraz regulacji dotyczących maszyn i systemów AI wysokiego ryzyka. Z prawnego punktu widzenia nie ma zakazu używania AI jako elementu bezpieczeństwa, jest natomiast obowiązek zapewnienia, że całość instalacji spełnia minimalne standardy BHP i normy maszynowe.

    W praktyce oznacza to m.in. rzetelną ocenę ryzyka, przetestowanie działania „stopu” w realistycznych scenariuszach, udokumentowanie konfiguracji i procedur oraz wyznaczenie osób odpowiedzialnych za nadzór nad systemem. Dla mniejszych zakładów rozsądnym podejściem jest start od pilotażu na jednej linii i stopniowe skalowanie, zamiast od razu przebudowy całej fabryki.

    Kto ponosi odpowiedzialność za błędne zatrzymanie lub brak zatrzymania przez AI?

    Formalnie odpowiedzialność spada na pracodawcę i osoby kierujące pracownikami – to one mają obowiązek zapewnić bezpieczne warunki pracy i właściwy dobór środków technicznych. Dostawca AI odpowiada za wady systemu na gruncie umowy i przepisów cywilnych, ale wobec inspekcji pracy czy prokuratury „tłumaczenie się algorytmem” nie zadziała.

    Dlatego tak istotne są:

  • jasne umowy z dostawcą (odpowiedzialność za błędy, serwis, aktualizacje),
  • dokumentacja konfiguracji i zmian w systemie w zakładzie,
  • procedury reagowania na incydenty (wypadek, częste fałszywe alarmy).

Przykładowo, jeśli kierownik produkcji świadomie obniży czułość systemu, by „nie blokował linii”, a potem dojdzie do wypadku, to on i pracodawca będą pierwszymi adresatami pytań organów nadzoru.

Jak pogodzić bezpieczeństwo z kosztami przestojów wywołanych przez AI?

Podstawą jest wspólna matryca ryzyka i kosztów: osobno liczony jest koszt wypadku (odszkodowania, kary, przestój, reputacja), a osobno koszt fałszywych zatrzymań. Dopiero na tej podstawie ustala się parametry systemu (np. czułość, progi alarmowe, logika eskalacji), dbając jednocześnie, by nie zejść poniżej wymaganego prawem poziomu bezpieczeństwa.

Praktyczny, „budżetowy” wariant to:

  • zacząć od bardziej konserwatywnych ustawień (większe bezpieczeństwo, więcej stopów),
  • systematycznie analizować logi i przypadki fałszywych alarmów,
  • korygować konfigurację na podstawie danych, a nie presji „żeby się kręciło”.

Dodatkowo można wprowadzić tryb, w którym AI nie od razu zatrzymuje linię w każdej sytuacji, ale np. najpierw spowalnia cykl i generuje ostrzeżenie – tam, gdzie ryzyko jest niższe i przepisy na to pozwalają.

Jakie przepisy regulują zatrzymanie linii produkcyjnej przez algorytm AI?

Kluczowe są trzy bloki regulacyjne na poziomie UE: AI Act (systemy AI wysokiego ryzyka, w tym związane z bezpieczeństwem ludzi), prawo maszynowe (rozporządzenie w sprawie maszyn i normy dotyczące elementów bezpieczeństwa sterowanych oprogramowaniem) oraz ogólne przepisy BHP. Do tego dochodzi prawo krajowe: kodeks pracy, przepisy wykonawcze BHP, kodeks cywilny i karny.

AI Act nie „uwalnia” z wymogów maszynowych ani BHP – dokładane są po prostu kolejne obowiązki: dokumentowanie danych treningowych, testów, nadzoru nad systemem, wyjaśnialności decyzji i zarządzania ryzykiem specyficznym dla AI. Mały zakład nie musi od razu mieć sztabu prawników; często wystarczy skorzystać z gotowych wytycznych branżowych i norm, a dopiero przy większych wdrożeniach włączyć specjalistę od AI i prawa.

Jak przygotować umowę z dostawcą systemu AI, który może zatrzymać produkcję?

W umowie powinny się znaleźć konkrety, a nie ogólne deklaracje „system poprawia bezpieczeństwo”. W praktyce trzeba opisać m.in. zakres funkcji bezpieczeństwa, parametry działania (np. typy sytuacji, w których następuje „stop”), odpowiedzialność za błędy oprogramowania oraz sposób obsługi aktualizacji i serwisu.

Dobry, a przy tym rozsądny kosztowo zestaw punktów to:

  • obowiązek dostawcy do współpracy przy ocenie ryzyka i testach odbiorczych,
  • prawo zakładu do wglądu w logi i podstawowe uzasadnienia decyzji AI,
  • jasne granice odpowiedzialności za przestoje spowodowane wadliwym działaniem systemu,
  • procedura zgłaszania i naprawy usterek powiązanych z bezpieczeństwem (priorytety SLA).

Na start można skorzystać z prostego wzoru umowy ramowej z dopisanym załącznikiem „funkcje bezpieczeństwa AI”, zamiast zamawiać rozbudowany kontrakt od zera.

Jak dokumentować decyzje systemu AI o zatrzymaniu maszyny pod kątem prawa i BHP?

Minimum to rejestr zdarzeń: kiedy nastąpił „stop”, na jakiej podstawie (sygnały wejściowe, klasyfikacja modelu), jaki był dalszy przebieg (weryfikacja na miejscu, reset, korekta konfiguracji). Te informacje powinny być możliwe do powiązania z konkretną maszyną, zmianą i osobą odpowiedzialną za decyzję operacyjną po stronie człowieka.

Przydatny i stosunkowo tani w utrzymaniu zestaw dokumentów obejmuje:

  • raport z oceny ryzyka uwzględniający działanie AI,
  • instrukcję stanowiskową z opisem reakcji na zatrzymanie przez AI,
  • proste procedury eskalacji (kto decyduje przy sporach: „awaria czy fałszywy alarm”),
  • skróconą historię zmian konfiguracji systemu (kto, co, kiedy zmienił).

Dzięki temu w razie kontroli PIP czy postępowania po wypadku da się pokazać, że decyzje nie były „na czuja”, tylko wynikały z zaplanowanego systemu zarządzania bezpieczeństwem.

Czy AI może całkowicie zastąpić tradycyjne środki bezpieczeństwa maszyn (kurtyny, przyciski STOP)?

Co do zasady – nie. AI powinna być traktowana jako dodatkowa warstwa bezpieczeństwa, a nie jedyny środek ochronny. Klasyczne elementy bezpieczeństwa (przyciski awaryjne, kurtyny świetlne, blokady mechaniczne) są sprawdzone, certyfikowane i względnie łatwe do oceny przez inspekcję czy audytora.

Rozsądny model to:

  • utrzymanie tradycyjnych zabezpieczeń jako minimum wymaganego prawem,
  • dołożenie AI jako „inteligentnego” strażnika, który wykrywa sytuacje, których zwykłe czujniki nie widzą,

    • Najważniejsze wnioski

  • Oddanie decyzji „stop” systemowi AI ma sens biznesowy i BHP, ale tylko wtedy, gdy jego rola jest jasno zdefiniowana: ma ograniczać wypadki i kosztowne awarie, nie generując lawiny nieuzasadnionych przestojów.
  • Decyzje AI różnią się od klasycznych układów bezpieczeństwa – są probabilistyczne, oparte na danych i częściowo nieprzejrzyste, więc wymagają innego podejścia do testów, certyfikacji, dokumentacji i nadzoru.
  • Fałszywe alarmy (np. zatrzymanie linii przez „pomylenie” folii z dłonią) to realny koszt: straty materiałowe, opóźnienia, nadgodziny i presja, by system wyłączyć lub „przykręcić”. Zbyt niski poziom czułości podnosi z kolei ryzyko ciężkiego wypadku i odpowiedzialności karnej.
  • Odpowiedzialność prawna nie znika tylko dlatego, że decyzję formalnie podjął algorytm – nadal trzeba wykazać należytą staranność: właściwą konfigurację, ocenę ryzyka, zgodność z przepisami BHP, regulacjami maszynowymi, prawem pracy i wymogami AI wysokiego ryzyka UE.
  • Kluczowe staje się ułożenie relacji z dostawcą systemu AI: jasne umowy, podział obowiązków, wymagania co do due diligence, wyjaśnialności decyzji, dokumentacji i aktualizacji modelu, tak aby nie zostawiać fabryki „z systemem w czarnej skrzynce”.
  • Firmy muszą zbudować wewnętrzne procedury wokół automatycznego „stopu”: zasady eskalacji po decyzji AI, sposób analizy incydentów, kryteria korekty ustawień oraz minimalny poziom bezpieczeństwa, którego nie wolno poświęcić dla samej redukcji przestojów.

Polecane dla Ciebie: