Защита срещу неочаквано пускане (ISO 14118) – анализ на системите за изключване на енергията

Защо тази тема е важна днес

Защитата срещу неочаквано пускане днес не е изпълнителен детайл, който може да се остави за края на проекта. На практика решението как да се прекъсва и разсейва енергията и как да се потвърждава безопасното състояние по време на пренастройване, почистване, отстраняване на блокирания и сервизни дейности влияе едновременно върху безопасността на хората, архитектурата на системата за управление, начина на приемане на машината и отговорността на производителя или интегратора. Ако тази тема бъде сведена единствено до въпроса за „главния прекъсвач“ или само до спирането на задвижването, проектът обикновено се връща за преработка: появява се необходимост от допълнителни клапани, блокировки, точки за изолиране, промени в управляващите последователности и корекции в техническата документация. Това не са промени без отражение върху разходите. Най-често те означават отлагане на пуска, спор относно обхвата на доставката и по-трудно обосноваване на приетите защитни мерки при оценяването на съответствието.

Причината е проста: неочакваното пускане рядко е резултат от една-единствена грешка. Обикновено то е следствие от погрешно проектно допускане, че спирането на движението е равнозначно на отстраняване на опасността. А в много машини проблемът остава в остатъчната енергия, самовъзстановяването на захранването, падането на елементи под действието на гравитацията, повторното пускане след нулиране на грешка или намеса от няколко независими източника на управление. За проектантския екип това означава необходимост ясно да се разграничат три въпроса, които на практика често се смесват: какво трябва да бъде спряно, какво трябва да бъде изолирано и какво трябва да се поддържа в безопасно състояние през цялото време, докато човек се намира в опасната зона. Именно тук се вземат решенията, които по-късно определят разходите за изпълнение на шкафа, пневматиката, хидравликата, сервизните процедури и валидирането.

Най-полезният критерий за вземане на решение на този етап е следният: след влизане на човек в опасната зона съществува ли какъвто и да е път, по който опасно движение може да възникне без негово съзнателно действие и извън неговия контрол. Ако отговорът не е еднозначно отрицателен, само функционалното спиране не е достатъчно и трябва да се анализират прекъсването на енергията и защитата срещу нейното непреднамерено възстановяване. Добре е това да се оценява не по декларации, а по наблюдаеми показатели на проекта: броя на енергийните източници, които изискват изолиране, времето, необходимо за достигане на безопасно състояние, начина за потвърждаване на липсата на енергия, броя на операторските намеси, извършвани извън производствен режим, както и броя на местата, в които персоналът е изкушен да „заобиколи“ защитата, защото правилната процедура е твърде бавна или твърде неудобна. Последното вече естествено се свързва с темата за манипулирането на защитите и заобикалянето им, защото неправилно избраното прекъсване на енергията много често не премахва проблема, а само го прехвърля в ежедневната експлоатация.

Добър пример е работна станция с подвижен предпазител, при която след отваряне на предпазителя задвижването се спира, но вертикалният цилиндър остава под налягане, а системата след затваряне на предпазителя се връща към автоматичния цикъл. Формално операторът „не би трябвало“ да навлиза по-навътре в зоната, но в действителност ще отстранява детайл, ще почиства датчик или ще коригира положението на захвата. Ако в такъв сценарий не са предвидени контролирано прекъсване и разсейване на енергията, както и условия за повторно пускане, опасността се появява не по време на нормалното производство, а именно при кратките, повтарящи се намеси. От гледна точка на проекта това е моментът, в който трябва да се реши дали проблемът се решава чрез правилно проектирана система за прекъсване на енергията, или темата преминава в областта на блокиращите устройства със заключване и ограничаването на възможностите за заобикаляне. Ако предпоставките за използване са неясни, отговорът не произтича от интуиция, а от надежден анализ на риска, извършен по практически начин, с отчитане на реалните дейности, извършвани при машината.

Едва на този фон изискванията на ISO 14118 могат да се тълкуват смислено. Стандартът не замества анализа на риска и не дава една универсална схема за прекъсване на енергията; той обаче подрежда начина на мислене за предотвратяване на неочаквано пускане при предвидими работни състояния и намеси. На практика той трябва да се чете заедно с оценката на риска, извършвана съгласно подхода, прилаган в ISO/TR 14121-2, а когато се появи темата за предпазители и блокировки — и с изискванията относно ограничаването на манипулациите. Това има значение и по отношение на отговорността: ако машината се доставя като комплект, линия или незавършена машина, предназначена за интеграция, границите на отговорност за функциите по прекъсване на енергията трябва да бъдат описани достатъчно точно, така че да не възникне празнина между доставчиците. Именно затова тази тема изисква решение сега, а не след монтажа: късното добавяне на „безопасно прекъсване“ към вече готова концепция почти винаги струва повече, отколкото правилното му дефиниране в началото.

Къде най-често нарастват разходите или рискът

При проекти, свързани със защита срещу неочаквано пускане, разходите рядко нарастват, защото някой е „добавил твърде много безопасност“. Много по-често проблемът е в неправилно зададения въпрос още в началото: необходимо ли е прекъсване на енергията, кои източници на енергия действително трябва да бъдат разсеяни, кой изпълнява действието и в какво състояние трябва да остане машината след намесата. Ако тези изходни допускания не са достатъчно уточнени, екипът проектира решение, което изглежда просто, а след това се връща към него след приемателните изпитвания, след забележки от потребителя или след анализ на сценарий на инцидент. Тогава се появяват и най-скъпите корекции: промяна на архитектурата на управлението, преустройство на пневматиката или хидравликата, дооборудване на шкафове, нови процедури и повторно уточняване на отговорностите между доставчика на машината, интегратора и крайния потребител. Практическият критерий за оценка тук е еднозначен: ако екипът не може да опише какво енергийно състояние на машината е необходимо за конкретно действие по намеса, тогава решението за начина на прекъсване на енергията все още е преждевременно.

Втори източник на разходи е приравняването на прекъсването на енергията само със спиране на движението. Това е грешка, особено честа там, където има повече от една среда или натрупана енергия: остатъчно налягане, падане на елементи под въздействието на гравитацията, инерционно движение, пружини, хидравлични акумулатори, задвижвания, които поддържат позиция. В такива системи „изключване“ не е задължително да означава безопасно състояние за човека, който извършва пренастройване, почистване или отстраняване на заклинване. Проектната последица е ясна: ако функцията за прекъсване не обхваща разсейването на остатъчната енергия или контролираното поддържане на безопасно състояние, трябва да се предвиди не само преработка на инсталацията, но и отговорност за неправилно определени ограничения за използване. На практика е добре преди одобряване на концепцията да се оценят три неща: дали след прекъсването остава енергия, която може да предизвика движение, дали операторът може да провери това без демонтаж на предпазните ограждения и дали възстановяването на захранването автоматично възстановява възможността за пускане.

Типичен пример е станция с пневматични задвижвания, при която централен отсекателен клапан е приет като достатъчно решение. На схемата това изглежда правилно, но по време на експлоатация се оказва, че част от цилиндрите задържат позиция благодарение на локално затворено налягане, а при повторно подаване на захранване системата се връща в състояние на готовност по-бързо, отколкото предвижда последователността от действия на персонала. Тогава разходът не произтича единствено от добавянето на изпускателни клапани или механични блокировки. Добавят се спиране на приемането, актуализиране на документацията, повторна проверка на логиката за управление, а понякога и промяна на инструкциите и обучението. Именно в този момент темата преминава от обикновен избор на отсекателен елемент в областта на практическата оценка на риска съгласно ISO 12100: необходимо е да се отчете реалното изпълнение на дейностите, предвидимите човешки грешки и начинът на достъп до опасната зона. При хидравличните системи възниква и допълнителният въпрос дали разсейването на енергията не влошава стабилността на товара; тогава проектното решение трябва да се разглежда заедно с изискванията за безопасно водене и поддържане на налягането в системата.

Едва на този етап позоваването на ISO 14118 внася ред в решението, но не го замества. Стандартът посочва посоката: да се предотврати неочаквано пускане чрез правилно прекъсване, разсейване или контрол на енергията, както и чрез организационни и технически мерки, съобразени с предвидимите намеси. Ако обаче спорът в екипа е дали дадена дейност е „обслужване при спряна машина“, или вече е намеса, изискваща пълно изолиране на енергията, това е сигнал, че трябва да се върнете към методиката за идентификация на опасностите съгласно ISO 12100 и оценка на риска, прилагана на практика, а не да търсите отговора само в схемата. От друга страна, когато решението се основава на отваряне на ограждение и блокиране на достъпа, бързо се появява втори проблем: дали конструкцията не провокира заобикаляне на защитата, защото процедурата за прекъсване е твърде бавна или твърде неудобна. Тогава темата естествено преминава и към ограничаване на манипулирането на защитните устройства. За ръководителя на проекта най-важният критерий за вземане на решение не е „какъв апарат да се приложи“, а „дали избраният начин на прекъсване осигурява повторяемо, проверимо безопасно състояние за конкретната дейност и конкретния достъп“. Ако отговорът не е еднозначен, разходът ще нарасне по-късно, обикновено в по-слабо контролиран етап от проекта.

Как да се подходи към темата на практика

На практика темата за защитата срещу неочаквано пускане не започва с избора на разединител, клапан или процедура за извеждане от работа, а с ясно подреждане на решенията кои намеси действително ще се извършват по машината и в какво техническо състояние трябва да се намира тя тогава. Това решение влияе пряко върху архитектурата на системата, обхвата на документацията, времето за пускане и отговорността от страна на производителя или интегратора. Ако проектният екип приеме твърде либерално допускане и третира сервизната дейност като обикновено обслужване при спряна машина, рискът ще се върне при приемането, валидирането или вече след предаването на машината за експлоатация. Ако, обратно, допускането е прекомерно рестриктивно, разходите ще нараснат заради разширяване на схемите за изключване, допълнителни апарати, по-голяма сложност на последователностите и спад на техническата наличност. Затова практичният критерий за решението трябва да е един: дали за конкретната дейност може да се постигне и потвърди безопасно състояние, което изключва възможността за неволно движение и неконтролирано освобождаване на енергия.

Това означава, че мениджърът или собственикът на продукта трябва да изиска от екипа описание на дейностите не на езика на функциите на машината, а на езика на достъпа и енергията. Трябва да е ясно кой влиза в зоната, какво докосва, кои ограждения отваря, кои задвижвания могат да извършат остатъчно движение, къде остава налягане, гравитационна опора или енергия, натрупана в еластични елементи. Едва на тази основа може да се прецени дали е достатъчно изключване на една среда, или е необходимо изолиране на няколко източника заедно с разсейване на енергията и защита срещу повторно включване. Тук темата естествено преминава към оценка на риска съгласно ISO 12100: ако спорът е за границата между „спиране за намеса“ и „работа, изискваща пълна изолация“, това вече не е проблем на изпълнителния апарат, а на класификацията на опасността, предвидимата употреба и погрешно приетото поведение на потребителя.

Добър пример е работна станция с електрическо задвижване и пневматични цилиндри, в която операторът периодично посяга, за да отстрани заклинване на материал. Формално машината може да е спряна, но това само по себе си още не означава, че намесата е безопасна. Ако след спирането остава налягане, което може да премести работен елемент, или задвижването може да бъде повторно активирано от автоматиката, самата команда „stop“ не решава проблема. Проектното решение трябва тогава да отговори не само на въпроса как да се изключи енергията, но и как потребителят ще разпознае, че безопасното състояние действително е постигнато и се поддържа. Ако изискваната процедура е дълга, неудобна или неясна, нараства рискът от заобикаляне на защитите, а с това възниква и допълнителен конструктивен проблем, свързан с податливост към манипулиране. Обикновено това струва повече, отколкото правилното разпознаване на ситуацията в началото, защото по-късните корекции вече обхващат не отделен апарат, а логиката на управление, огражденията, инструкцията и валидирането.

• дали изключването обхваща всички енергии, които могат да предизвикат движение или освобождаване на опасност,
• дали безопасното състояние е видимо или по друг начин еднозначно проверимо,
• дали повторното включване изисква съзнателно действие и няма да настъпи самопроизволно след възстановяване на захранването.

Едва след такова подреждане има смисъл да се премине към нормативните препратки. Когато защитната мярка се основава на реализиране на функция чрез системата за управление, а не единствено чрез механично изолиране на енергията, въпросът преминава в областта на изискванията към функциите за безопасност и тяхната надеждност. А когато ключово става решението дали дадена намеса изисква пълно изключване, или е допустим друг метод на защита, е необходимо връщане към методичната идентификация на опасностите съгласно ISO 12100. В проектантската практика това не са отделни светове, а последователни слоеве на едно и също решение. ISO 14118 подрежда начина на мислене за изключването и предотвратяването на неочаквано пускане, но не освобождава екипа от задължението да покаже, че решението е адекватно на предвидената дейност, устойчиво на типични заобикаляния и може да бъде валидирано, без да оставя „сиви зони“ на отговорност.

За какво да се внимава при внедряването

Най-честата грешка при внедряване на защита срещу неочаквано пускане е, че екипът разглежда изключването на енергията като обикновен избор на апарат, докато в действителност това е решение за границите на оперативната, поддържащата и проектантската отговорност. Ако решението не определя еднозначно кой, кога и при какво състояние на машината може да влезе в опасната зона, дори технически правилно изпълнената схема за изключване не елиминира риска. Последиците за проекта обикновено са скъпи: късни корекции в документацията, дооборудване на разпределителните табла, промени в логиката на управление и накрая спор дали производителят е предвидил правилния начин на намеса. Практическият критерий за оценка тук е прост: преди решението да бъде одобрено, трябва да може да се докаже за всяка предвидена дейност дали изключването действително елиминира възможността за възникване на движение, освобождаване на енергия или възстановяване на работата без съзнателно действие от страна на човек.

На етапа на проектиране особено опасни са решенията, които са „почти достатъчни“, тоест такива, които изключват основното захранване, но оставят източници на спомагателна енергия, акумулирана енергия или възможност за движение, предизвикано отвън. На практика това се отнася до пневматични системи с остатъчно налягане, вертикални оси, задържани от спирачка, елементи с инерция, вериги за поддържане и задвижвания, които след възстановяване на захранването се връщат към автоматична последователност. Ако тези явления не бъдат разпознати в началото, разходът не се появява само при закупуването на допълнителни компоненти. Нарастват и разходите за пускане в експлоатация и валидиране, защото екипът трябва да докаже безопасността на решение, чиято архитектура от самото начало не е обхващала всички гранични състояния. Добра мярка при вземане на решение тук не е броят на използваните разединители, а броят на енергиите и режимите на работа, за които екипът може да опише пътя до безопасно състояние и начина за потвърждение, че това състояние е постигнато.

Добър пример за практическа клопка е сервизна намеса, която формално не изисква навлизане „навътре“ в машината, но налага отваряне на предпазния кожух и достигане до зона, в която остава спомагателно задвижване или движение, произтичащо от управляващата последователност. В такива случаи решението само за изключване на енергията бързо преминава в две съседни области. Първо, трябва да се върнем към методичната оценка на риска съгласно ISO 12100 за конкретната дейност, защото именно тя определя дали е необходимо пълно изолиране на всички енергии, или може да се докаже равностойна защитна мярка. Второ, ако операторите или екипите по поддръжка ще заобикалят редовно предвидената процедура, проблемът престава да бъде само въпрос на ISO 14118 и навлиза в областта на манипулирането на защитите и заобикалянето им. Това е важно от гледна точка на отговорността: решение, което работи само когато потребителят действа по начин, малко вероятен в реалната експлоатация, е слабо не защото „на хартия“ е несъответстващо, а защото проектът не е отчел предвидимото човешко поведение.

Именно затова позоваването на ISO 14118 трябва да се появява накрая като подреждане на взетите решения, а не като заместител на анализа. Ако ключовият въпрос е дали дадена намеса изисква пълно изключване на всички енергии, правилното развитие е оценка на риска съгласно ISO 12100, а в по-сложни случаи и практиката за оценяване на риска, описана в помощните документи. Ако пък проблемът е в податливостта на решението към съзнателно заобикаляне, естествено допълнение е областта на блокиращите устройства и противодействието на манипулации. За проектантския екип това означава едно: решението за системата за изключване трябва да се одобрява едва тогава, когато може да бъде защитено едновременно технически, организационно и експлоатационно. В противен случай спестяването в началото много лесно се превръща в забавяне на приемането, разход за преустройство или отговорност, която трудно може да бъде разсеяна, от страна на производителя или интегратора.