Låseanordninger med fastholdelse i henhold til ISO 14119 – hvordan forhindrer man omgåelse?

Manipulation af låseanordninger med fastholdelse skyldes sjældent alene operatørens “dårlige praksis”. Oftest er det en følge af designbeslutninger, som ikke tager højde for den faktiske adgang til farezonen, ventetiden før sikker åbning eller besværet ved genstart. Derfor bør spørgsmålet om overensstemmelse med DS/EN ISO 14119 stilles bredere: ikke kun hvordan man vælger den rette låseanordning, men også hvordan man udformer afskærmningen, stopsekvensen og adgangslogikken, så omgåelse af beskyttelsen ikke bliver den letteste løsning for brugeren.

I praksis betyder det, at flere beslutningslag skal hænge sammen. DS/EN ISO 14119 systematiserer i sig selv valget af låseanordninger og foranstaltninger, der begrænser muligheden for manipulation, men den skal læses sammen med DS/EN ISO 14120 for afskærmninger, med kravene til sikkerhedsfunktioner efter ISO 13849 og, hvor det vedrører elektroniske styresystemer, også i relation til SIL. Hvis der er tale om sikkerhedsafskærmning, har ISO 13857 også betydning. Men selv korrekt henvisning til standarderne kan ikke erstatte den grundlæggende designafgørelse: om den valgte måde at drive maskinen på kan opretholdes uden pres for at omgå beskyttelsen.

Hvorfor emnet er vigtigt i dag

Låseanordninger med fastholdelse er ikke længere en detalje ved en bevægelig afskærmning, som vælges til sidst i projektet. I praksis påvirker de maskinens arkitektur, betjeningsmåden, stoplogikken og organiseringen af adgangen til farezonen. Hvis de vælges udelukkende ud fra formel overensstemmelse og ikke ud fra de faktiske driftsforhold, opstår der hurtigt manipulation: omgåelse af det aktiverende element, afskærmningen efterlades åben, eller cyklussen tvinges igennem med adgang, der ikke er helt lukket. Det er ikke et sideproblem, men et tegn på, at projektet ikke har taget højde for den forudsigelige brug af maskinen.

Konsekvenserne er som regel omkostningstunge og viser sig sent, når ændringer er sværest at gennemføre. Produktejeren og den ansvarlige for overensstemmelse må da samtidig håndtere øget risiko for personskade, tvivl om de valgte beskyttelsesforanstaltninger og behovet for korrektioner efter idriftsættelse. De dyreste fejl opstår i kravfasen, når fastholdelsen behandles som et enkelt katalogvalg i stedet for som en del af sikkerhedsfunktionen og organiseringen af adgangen. Projektteamet bør ikke kun besvare spørgsmålet om, hvorvidt afskærmningen skal overvåges, men først og fremmest: hvor ofte den vil blive åbnet, om stoppet indebærer efterløb eller restenergi, om operatøren i praksis vil være motiveret til at forkorte cyklussen, og om denne motivation kan fjernes ved at ændre løsningen.

Det ses især dér, hvor operatøren regelmæssigt skal fjerne fastkørsler eller fylde materiale på. Hvis afskærmningen er fastholdt indtil fuldt stop, men tiden til frigivelse af låsen ikke svarer til processens reelle dynamik, eller proceduren for at genoptage arbejdet er uforholdsmæssigt besværlig, bliver omgåelse af beskyttelsen forudsigelig. Konsekvenserne for projektet er konkrete: yderligere mekaniske ombygninger, ændringer i sikkerhedskredsen, rettelser i den tekniske dokumentation og i nogle tilfælde også ombygning af driv- eller hydrauliksystemet, når selve stopmåden viser sig at være kilden til problemet.

Først på den baggrund er det relevant at henvise til standarderne. DS/EN ISO 14119 systematiserer valget af låseanordninger med fastholdelse og tilgangen til at begrænse manipulation, men den erstatter ikke risikovurderingen. Den skal læses sammen med DS/EN ISO 14120 for afskærmninger samt med kravene til sikkerhedsfunktioner efter ISO 13849, og for elektroniske styresystemer også med SIL. Hvis adgangen sker via sikkerhedsafskærmning, har ISO 13857 også betydning. Set fra et praktisk synspunkt er konklusionen enkel: risikoen for manipulation skal afklares i design- eller moderniseringsfasen, for efter idriftsættelse fjerner man kun følgerne af forkerte forudsætninger, ikke årsagerne til dem.

Hvor omkostninger eller risiko oftest vokser

De største tab skyldes ikke selve brugen af en låseanordning med fastholdelse, men den fejlagtige antagelse, at problemet med manipulation kan elimineres med en “kraftigere” lås eller en mere restriktiv styrelogik. I praksis vokser omkostninger og risiko, når beskyttelsesforanstaltningen i højere grad hæmmer det normale arbejde, end den reelt begrænser muligheden for at omgå den. Projektteamet ser da symptomet frem for årsagen: hyppige åbninger af afskærmningen, behov for at følge processen visuelt, forkortelse af cyklustiden, justering af indstillinger eller fjernelse af fastklemninger. Hvis sådanne situationer ikke identificeres, før projektet afsluttes, opstår der en typisk kæde af konsekvenser: ombygning af afskærmninger, ændring af styrelogikken, fornyet validering af sikkerhedsfunktioner og uenighed om, hvor problemets kilde ligger – i konstruktionen, integrationen eller anvendelsen.

Et andet risikoområde er adskillelsen mellem mekaniske beslutninger og beslutninger om automation. Når konstruktøren af afskærmningen, automationsspecialisten og den ansvarlige for overensstemmelse arbejder uafhængigt af hinanden, bliver låsningen ofte valgt for sent, efter at dørgeometri, åbningsretning, frigang, lukkekræfter og metode til afhjælpning af fejl allerede er fastlagt. I så fald skal låseanordningen kompensere for svagheder i hele maskinens arkitektur. Resultatet er overbelastning af komponenter, problemer med indbyrdes justering, ustabil placering af afskærmningen og monteringstolerancer, som under drift begynder at fremme omgåelse af beskyttelsen. Hvis korrekt funktion af låsningen afhænger af meget præcis justering, “forsigtig” lukning eller af, at operatøren hver gang venter længere, end processen accepterer, er risikoen for manipulation allerede bygget ind i projektet.

I praksis ses dette tydeligt ved arbejdsstationer, hvor adgangen til farezonen er hyppig, men kortvarig: ved omstilling, udtagning af emner, fjernelse af affald eller korrektion af positionen. Hvis projektet forudsætter låsning, indtil faren er ophørt, men ikke adskiller processtop fra hurtig, kontrolleret operatør- eller serviceadgang, begynder brugeren at lede efter genveje. En uautoriseret aktiveringsdel, en afskærmning der midlertidigt ikke er helt lukket, understøtning af låsen eller omgåelse af genstartssekvensen er da ikke en hændelse, men en oplysning om en forkert projekteringsbeslutning.

• Hvor ofte afskærmningen åbnes i den normale arbejdscyklus.
• Hvor lang tid der går, før den kan åbnes sikkert efter stop.
• Om betingelserne for genstart står i rimeligt forhold til typen af indgreb.
• Om brugeren har en enkel, teknisk mulighed for at omgå beskyttelsen.
• Om afskærmningens geometri og monteringsmetode understøtter stabil funktion af låsen under drift.

Standarderne systematiserer måden, disse forhold vurderes på, men de træffer ikke beslutningerne for konstruktøren. DS/EN ISO 14119 fastlægger principperne for valg af låseanordninger og begrænsning af manipulation, men den skal ses i sammenhæng med DS/EN ISO 14120, og sikkerhedsfunktioner skal vurderes efter logikken i ISO 13849 og i nogle tilfælde også SIL for elektroniske styresystemer. Når det gælder sikkerhedsafskærmning, kan ISO 13857 ikke udelades. Det endelige kriterium er dog fortsat praktisk: om manipulation stadig er et problem, der skal begrænses, eller allerede er et bevis på, at betingelserne for sikker adgang og stopsekvensen er defineret forkert.

Sådan griber man emnet an i praksis

Spørgsmålet om, hvordan man forhindrer manipulation, bør ikke begynde med valget af en bestemt enhed. Først skal man fastlægge, i hvilke situationer operatøren eller vedligeholdelsespersonalet reelt vil have motivation til at omgå sikkerhedsfunktionen. Hvis adgang til farezonen er nødvendig ofte, hvis stop tager for lang tid, eller hvis det er unødigt besværligt at vende tilbage til driftsklar tilstand efter åbning af afskærmningen, bliver manipulation en forudsigelig følge af designet. Set fra et ledelsesperspektiv betyder det højere idriftsættelsesomkostninger, flere ændringer efter overdragelse og vanskeligere forsvar af de valgte løsninger i tilfælde af en hændelse eller en tvist om overensstemmelse.

Derfor er rækkefølgen af beslutninger afgørende. Først skal adgangsscenarierne struktureres: omstilling, fjernelse af fastklemninger, rengøring, kvalitetskontrol, diagnostik og vedligehold. Først derefter kan man vurdere, om låsningen skal beskytte mod adgang til en fare, som stadig er til stede efter stopkommandoen er givet, eller om den kun skal håndhæve den korrekte arbejdssekvens. At blande disse to formål i én løsning fører hurtigt til skjulte omkostninger: uklare betingelser for frigivelse af låsen, unødvendige serviceomgåelser, konflikter mellem automatik og procesteknologi samt dokumentation, som er vanskelig at forsvare som sammenhængende.

Et praktisk eksempel er enkelt. Hvis afskærmningen åbnes flere gange pr. skift for at fjerne mindre driftsforstyrrelser, og låsen først frigives efter en tid, som operatøren opfatter som uberettiget, ligger problemet ikke i arbejdsdisciplinen. En ren udskiftning af afbryderen til en model med højere kodningsniveau kan gøre simpel teknisk manipulation vanskeligere, men den fjerner ikke årsagen. I en sådan situation skal man vende tilbage til forudsætningerne og kontrollere, om det er muligt at forkorte det sikre stop, opdele adgangszoner, ændre resetsekvensen, indføre en interventionstilstand med kontrol af betingelserne eller løse fjernelse af fastklemninger på en anden måde. Det er netop disse beslutninger, der mindsker presset for at omgå afskærmninger.

Først efter en sådan afklaring kan normative henvisninger anvendes meningsfuldt. DS/EN ISO 14119 systematiserer valg af låseanordninger, deres installation og foranstaltninger, der begrænser muligheden for manipulation, men den erstatter ikke en vurdering af den faktiske måde, maskinen bruges på. Den skal ses i sammenhæng med DS/EN ISO 14120, og valg samt validering af sikkerhedsfunktioner kræver henvisning til ISO 13849; i tilfælde af elektroniske styresystemer kan SIL også være relevant. Når adgangen vedrører et sikkerhedshegn, er ISO 13857 også vigtig. Set fra en praktikers synspunkt er den vigtigste konklusion denne: Først skal motivationen for at omgå fjernes, og først derefter skal selve omgåelsen gøres vanskeligere.

Hvad skal man være opmærksom på ved implementering

Den mest almindelige fejl ved implementering er at antage, at en låseanordning med fastholdelse i sig selv løser problemet med manipulation. I praksis flytter den beslutningstyngden over på, hvordan afskærmningen bruges, logikken for oplåsning, afskærmningens geometri og monteringsmåde samt organiseringen af indgreb. Hvis disse forhold ikke er gennemtænkt, vil brugeren stadig lede efter genveje, og projektet kommer til at betale prisen på det værst tænkelige tidspunkt: under idriftsættelse, ved overtagelse eller først efter at maskinen er sat i drift. Så opstår der ikke kun mekaniske rettelser og ændringer i styresystemet, men også vanskeligheder med at forsvare overensstemmelsesdokumentationen, når det viser sig, at en forudsigelig omgåelse af sikkerhedsforanstaltningen ikke reelt er blevet begrænset.

Der skal udvises særlig forsigtighed dér, hvor låsen skal kompensere for problemer, hvis årsag ligger uden for selve låseanordningen. Hvis afskærmningen skal åbnes ofte, fordi processen kræver justering, fjernelse af fastklemninger eller bekræftelse af emnets tilstand, løser et højere sikringsniveau som regel ikke problemet alene. Det vil snarere øge omkostningerne og skabe større driftsmæssige spændinger. Hvis adgang til farezonen regelmæssigt er nødvendig i den normale arbejdscyklus, bør man først undersøge, om processen er udformet på en måde, der i sig selv fremprovokerer omgåelse af sikkerheden. I så fald er det rigtige spørgsmål ikke “hvilken lås skal anvendes”, men om adgangsfrekvensen, ventetiden og betingelserne for genstart er acceptable set i forhold til den faktiske betjening.

Et typisk problem opstår, når frigivelsen af låsen afhænger af, at bevægelsen ophører, eller at energien aflades, men signalet om, at åbning er tilladt, er ustabilt eller forsinket i forhold til maskinens faktiske adfærd. Operatøren ser da en afskærmning, som “ikke kan åbnes”, selv om indgrebet fra vedkommendes perspektiv er presserende og teknisk enkelt. Hvis der desuden ikke er forudset en sikker tilstand til afhjælpning af forstyrrelser, opstår der hurtigt erstatningsløsninger: at lade afskærmningen stå på klem, at tvinge aktuatoren i position eller at gribe ind i aktiveringsmekanismen. Det er et tydeligt signal om, at implementeringens randbetingelser er blevet identificeret forkert.

I idriftsættelsesfasen er det derfor værd at observere ikke kun den formelle korrekthed af sikkerhedsfunktionen, men også forløbet i den faktiske drift: antallet af stop, der kræver adgang til zonen, ventetiden på oplåsning, årsagerne til indgreb og antallet af ændringer i logikken efter opstart. Hvis disse signaler tiltager, indeholder projektet stadig en indbygget risiko for manipulation, selv om selve sikkerhedskomponenten er valgt korrekt. I en sådan sammenhæng er DS/EN ISO 14119 fortsat referencepunktet for valg og montering af låseanordningen, men den skal anvendes sammen med DS/EN ISO 14120, med kravene til sikkerhedsfunktioner efter ISO 13849 og i relevante tilfælde også med SIL for elektroniske styresystemer samt med ISO 13857 for sikkerhedsafskærmninger. En implementering kan først betragtes som moden, når låsningen ikke skjuler svagheder i processen, men afslutter et korrekt identificeret risikoscenarie.