Sikring mod utilsigtet opstart (ISO 14118) – analyse af systemer til afbrydelse af energitilførsel

Hvorfor emnet er vigtigt i dag

Sikring mod uventet opstart er i dag ikke en udførelsesdetalje, som kan udskydes til slutningen af projektet. I praksis påvirker beslutningen om, hvordan energi skal afbrydes og bortledes, og hvordan sikker tilstand skal bekræftes under omstilling, rengøring, fjernelse af fastklemninger og servicearbejde, både personsikkerheden, styresystemets arkitektur, måden maskinen overtages på og ansvaret hos producenten eller integratoren. Hvis emnet kun behandles som et spørgsmål om “hovedafbryderen” eller alene om standsning af drevet, ender projektet som regel med at skulle omarbejdes: der opstår behov for ekstra ventiler, låsninger, isolationspunkter, ændringer i styresekvenserne og rettelser i den tekniske dokumentation. Det er ikke ændringer uden omkostninger. Oftest betyder de udsættelse af idriftsættelsen, uenighed om leverancens omfang og en vanskeligere begrundelse for de valgte beskyttelsesforanstaltninger under overensstemmelsesvurderingen.

Årsagen er enkel: uventet opstart skyldes sjældent én enkelt fejl. Den er som regel resultatet af en forkert projekteringsforudsætning om, at standsning af bevægelse er det samme som at fjerne faren. I mange maskiner er problemet derimod restenergi, automatisk tilbagevenden af forsyningen, nedfald af komponenter som følge af tyngdekraften, genstart efter nulstilling af fejl eller indgreb fra flere uafhængige styrekilder. For projektholdet betyder det, at tre spørgsmål skal holdes adskilt, selv om de i praksis ofte forveksles: hvad skal stoppes, hvad skal isoleres, og hvad skal holdes i sikker tilstand under hele den tid, hvor en person befinder sig i farezonen. Det er netop her, beslutningerne træffes, som senere bestemmer omkostningerne til tavlen, pneumatikken, hydraulikken, serviceprocedurerne og valideringen.

Det mest anvendelige beslutningskriterium på dette trin er: findes der, efter at en person er gået ind i farezonen, nogen som helst vej, hvorigennem en farlig bevægelse kan opstå uden vedkommendes bevidste handling og uden for vedkommendes kontrol. Hvis svaret ikke er entydigt benægtende, er funktionel standsning alene ikke tilstrækkelig, og man må analysere afbrydelse af energien samt sikring mod utilsigtet genetablering. Det er værd at vurdere dette ud fra observerbare projektindikatorer frem for erklæringer: antallet af energikilder, der kræver isolation, den tid det tager at opnå sikker tilstand, måden energibortfald bekræftes på, antallet af operatørindgreb uden for produktionstilstand samt antallet af steder, hvor personalet fristes til at “omgå” beskyttelsen, fordi den korrekte procedure er for langsom eller for besværlig. Det sidste er allerede et naturligt berøringspunkt med problematikken omkring manipulation af beskyttelser og omgåelser, fordi en forkert valgt energiafbrydelse meget ofte ikke fjerner problemet, men blot flytter det til den daglige drift.

Et godt eksempel er en station med en bevægelig afskærmning, hvor drevet stoppes, når afskærmningen åbnes, men hvor en lodret cylinder fortsat står under tryk, og anlægget vender tilbage til automatisk cyklus, når afskærmningen lukkes. Formelt “bør” operatøren ikke gå længere ind i zonen, men i praksis vil vedkommende fjerne en detalje, rengøre en sensor eller korrigere griberens position. Hvis der i et sådant scenarie ikke er forudset kontrolleret afbrydelse og bortledning af energi samt betingelser for genstart, opstår faren ikke under normal produktion, men netop under korte, gentagne indgreb. Set fra projektets side er det det tidspunkt, hvor man skal beslutte, om problemet løses med et korrekt projekteret system til energiafbrydelse, eller om emnet bevæger sig over i området for låseanordninger med låsning og begrænsning af mulighederne for omgåelse. Hvis forudsætningerne for brugen er uklare, følger svaret ikke af intuition, men af en grundig risikovurdering udført på en praktisk måde med inddragelse af de faktiske arbejdsopgaver, der udføres ved maskinen.

Først på den baggrund giver kravene i ISO 14118 mening. Standarden erstatter ikke risikovurderingen og giver ikke ét universelt princip for energiafbrydelse; den systematiserer derimod måden at tænke forebyggelse af uventet opstart på i forudsigelige driftstilstande og ved indgreb. I praksis skal den læses sammen med risikovurdering udført i overensstemmelse med den tilgang, der anvendes i ISO/TR 14121-2, og, når emnet er afskærmninger og låsninger, med kravene til begrænsning af manipulation. Det har også betydning for ansvarsfordelingen: hvis maskinen leveres som en samlet enhed, en linje eller en delmaskine beregnet til integration, skal grænserne for ansvaret for funktioner til energiafbrydelse være beskrevet så præcist, at der ikke opstår et hul mellem leverandørerne. Derfor kræver emnet beslutninger nu og ikke efter montage: at føje “sikker energiafbrydelse” til et færdigt koncept på et sent tidspunkt koster næsten altid mere end at definere det korrekt fra begyndelsen.

Hvor omkostninger eller risiko oftest vokser

I projekter om beskyttelse mod uventet opstart stiger omkostningerne sjældent, fordi nogen “har tilføjet for meget sikkerhed”. Langt oftere skyldes problemet, at det forkerte spørgsmål bliver stillet fra begyndelsen: om energien skal afbrydes, hvilke energikilder der reelt skal bortledes, hvem der udfører indgrebet, og hvilken tilstand maskinen skal forblive i efter indgrebet. Hvis disse forudsætninger ikke er tilstrækkeligt defineret, projekterer teamet en løsning, der virker enkel, men vender så tilbage til den efter idriftsættelsesprøver, efter brugerens bemærkninger eller efter analyse af et ulykkesscenarie. Det er her, de dyreste korrektioner opstår: ændring af styrearkitekturen, ombygning af pneumatik eller hydraulik, eftermontering i tavler, nye procedurer og fornyet afklaring af ansvar mellem maskinleverandøren, integratoren og slutbrugeren. Det praktiske vurderingskriterium er her entydigt: Hvis teamet ikke kan beskrive, hvilken energitilstand maskinen skal have ved en konkret indgrebshandling, er beslutningen om, hvordan energien skal afbrydes, stadig for tidlig.

En anden kilde til omkostninger er at sidestille energiafbrydelse med blot at standse bevægelsen. Det er en fejl, som især er almindelig dér, hvor der findes mere end ét medie eller lagret energi: resttryk, faldende dele som følge af tyngdekraften, inertibevægelse, fjedre, hydrauliske akkumulatorer og drev, der holder positionen. I sådanne systemer behøver “slukket” ikke at betyde en sikker tilstand for den person, der udfører omstilling, rengøring eller frigørelse af en fastklemning. Den projekteringsmæssige konsekvens er enkel: Hvis afbryderfunktionen ikke omfatter bortledning af restenergi eller kontrolleret opretholdelse af en sikker tilstand, må man ikke kun regne med ombygning af installationen, men også med ansvar for forkert fastlagte begrænsninger for anvendelsen. I praksis er det værd at vurdere tre ting, før konceptet godkendes: om der efter afbrydelsen stadig er energi tilbage, som kan forårsage bevægelse, om operatøren kan kontrollere dette uden at afmontere afskærmninger, og om genetablering af forsyningen automatisk genskaber mulighed for opstart.

Et typisk eksempel er en station med pneumatiske drev, hvor man har antaget, at en central afspærringsventil er en tilstrækkelig løsning. På diagrammet ser det korrekt ud, men under drift viser det sig, at nogle cylindre holder positionen på grund af lokalt indespærret tryk, og at systemet efter genetablering af forsyningen vender tilbage til klar-til-drift-tilstand hurtigere, end personalets handlingssekvens forudsætter. Så skyldes omkostningen ikke kun montering af udluftningsventiler eller mekaniske blokeringer. Der kommer også stop i overtagelsen, opdatering af dokumentationen, fornyet kontrol af styrelogikken og i nogle tilfælde også ændring af instruktioner og oplæring. Det er netop det tidspunkt, hvor emnet går fra et enkelt valg af afspærringskomponent til området for praktisk risikovurdering i henhold til ISO 12100: Man skal forholde sig til de faktiske handlinger, forudsigelige menneskelige fejl og måden, der er adgang til farezonen på. I hydrauliske systemer kommer der desuden spørgsmålet, om bortledning af energi forringer lastens stabilitet; i så fald skal projekteringsbeslutningen læses i sammenhæng med kravene til sikker føring og opretholdelse af tryk i systemet.

Først på dette trin skaber henvisningen til ISO 14118 struktur i beslutningen, men den erstatter den ikke. Standarden angiver retningen: at forebygge uventet opstart gennem korrekt afbrydelse, bortledning eller kontrol af energi samt gennem organisatoriske og tekniske foranstaltninger, der passer til de forventede indgreb. Hvis uenigheden i teamet derimod handler om, hvorvidt en given handling er “betjening ved standset maskine”, eller allerede et indgreb, der kræver fuld energiadskillelse, er det et signal om, at man skal vende tilbage til den metode for identifikation af farer i henhold til ISO 12100 og risikovurdering, som anvendes i praksis, i stedet for at lede efter svaret i selve diagrammet. Når løsningen derudover bygger på åbning af en afskærmning og blokering af adgang, opstår der hurtigt et andet problem: om konstruktionen ikke tilskynder til omgåelse af sikkerhedsforanstaltningen, fordi afbrydelsesproceduren er for langsom eller for besværlig. Så bevæger emnet sig naturligt også over i begrænsning af manipulation med sikkerhedsforanstaltninger. For projektlederen er det vigtigste beslutningskriterium derfor ikke “hvilket apparat skal anvendes”, men “om den valgte afbrydelsesmetode giver en reproducerbar og verificerbar sikker tilstand for den konkrete handling og den konkrete adgang”. Hvis svaret ikke er entydigt, vil omkostningerne stige senere, som regel på et mindre kontrolleret tidspunkt i projektet.

Hvordan griber man emnet an i praksis

I praksis begynder spørgsmålet om beskyttelse mod uventet opstart ikke med valg af afbryder, ventil eller nedlukningsprocedure, men med at få afklaret, hvilke indgreb der faktisk skal udføres på maskinen, og hvilken teknisk tilstand den skal være i under disse indgreb. Denne afklaring har direkte betydning for systemets arkitektur, dokumentationens omfang, idriftsættelsestiden og ansvarsfordelingen hos producenten eller integratoren. Hvis projektteamet lægger for lempelige forudsætninger til grund og behandler en serviceopgave som almindelig betjening ved stop, vil risikoen dukke op igen ved overtagelse, validering eller først efter, at maskinen er taget i brug. Hvis forudsætningen omvendt bliver unødigt restriktiv, stiger omkostningerne som følge af mere omfattende afbrydelsessystemer, ekstra komponenter, større kompleksitet i sekvenserne og lavere teknisk tilgængelighed. Derfor bør der i praksis kun være ét beslutningskriterium: om det for den konkrete opgave er muligt at opnå og bekræfte en sikker tilstand, som eliminerer risikoen for utilsigtet bevægelse og ukontrolleret frigivelse af energi.

Det betyder, at manageren eller produktejeren bør kræve, at teamet beskriver opgaverne ikke i maskinens funktionssprog, men i forhold til adgang og energi. Man skal vide, hvem der går ind i zonen, hvad vedkommende berører, hvilke afskærmninger der åbnes, hvilke drev der kan udføre en restbevægelse, og hvor der fortsat er tryk, tyngdebåret understøtning eller oplagret energi i elastiske elementer. Først på det grundlag kan man afgøre, om det er tilstrækkeligt at afbryde ét medie, eller om flere energikilder skal isoleres sammen med afladning af energi og sikring mod genindkobling. Her glider emnet naturligt over i en praktisk risikovurdering i henhold til ISO 12100: Hvis uenigheden handler om grænsen mellem “stop for indgreb” og “arbejde, der kræver fuld isolation”, er det ikke længere et spørgsmål om den udførende komponent, men om klassificering af faren, forudsigelig anvendelse og fejlagtigt antagne brugeradfærdsmønstre.

Et godt eksempel er en station med elektrisk drev og pneumatiske cylindre, hvor operatøren med jævne mellemrum griber ind for at fjerne materialeblokeringer. Formelt kan maskinen være standset, men det afgør endnu ikke, om indgrebet er sikkert. Hvis der efter stop stadig er et tryk, som kan flytte et arbejdselement, eller hvis drevet kan aktiveres igen af automatikken, løser en ren “stop”-kommando ikke problemet. Projekteringsbeslutningen bør derfor ikke kun besvare spørgsmålet om, hvordan energien afbrydes, men også hvordan brugeren kan se, at den sikre tilstand faktisk er opnået og opretholdt. Hvis den krævede procedure er lang, besværlig eller uklar, øges risikoen for, at sikkerhedsforanstaltninger omgås, og dermed opstår et yderligere konstruktionsmæssigt problem knyttet til manipulationsfølsomhed. Det koster som regel mere end at få situationen korrekt afklaret fra begyndelsen, fordi senere rettelser ikke længere kun omfatter en enkelt komponent, men også styrelogik, afskærmninger, instruktion og validering.

• om afbrydelsen omfatter alle energier, der kan forårsage bevægelse eller frigivelse af fare,
• om den sikre tilstand er synlig eller på anden måde entydigt kan verificeres,
• om genindkobling kræver en bevidst handling og ikke sker automatisk, når forsyningen genetableres.

Først efter en sådan afklaring giver det mening at gå videre til normative henvisninger. Når beskyttelsesforanstaltningen består i, at en funktion realiseres af styresystemet og ikke udelukkende ved mekanisk isolation af energi, bevæger sagen sig ind på området for krav til sikkerhedsfunktioner og deres pålidelighed. Når det derimod er afgørende at afklare, om et givent indgreb kræver fuld afbrydelse, eller om en anden beskyttelsesmetode kan accepteres, er det nødvendigt at vende tilbage til en metodisk identifikation af farer i henhold til ISO 12100. I projekteringspraksis er dette ikke adskilte verdener, men successive lag i den samme beslutning. ISO 14118 strukturerer måden at tænke på omkring afbrydelse og forebyggelse af uventet opstart, men fritager ikke teamet for at dokumentere, at løsningen er passende til den forudsatte opgave, robust over for typiske omgåelser og kan valideres uden at efterlade “gråzoner” i ansvarsfordelingen.

Hvad skal man være opmærksom på ved implementering

Den mest almindelige fejl ved implementering af beskyttelse mod uventet opstart er, at teamet betragter afbrydelse af energi som et enkelt valg af komponent, selv om det i virkeligheden er en beslutning om grænserne for det driftsmæssige, vedligeholdelsesmæssige og projekteringsmæssige ansvar. Hvis løsningen ikke entydigt fastlægger, hvem der må gå ind i farezonen, hvornår det må ske, og i hvilken maskintilstand, så lukker selv et teknisk korrekt afbrydersystem ikke risikoen. Konsekvensen for projektet er som regel dyr: sene rettelser i dokumentationen, eftermontering i tavler, ændringer i styrelogikken og til sidst en tvist om, hvorvidt producenten har forudset den korrekte måde at gribe ind på. Det praktiske vurderingskriterium er her enkelt: Før løsningen godkendes, skal man for hver planlagt handling kunne påvise, om afbrydelsen faktisk eliminerer muligheden for bevægelse, frigivelse af energi eller genetablering af drift uden en bevidst menneskelig handling.

I projekteringsfasen er løsninger, der er “næsten tilstrækkelige”, særligt farlige, dvs. løsninger, som afbryder hovedforsyningen, men efterlader hjælpeenergikilder, lagret energi eller mulighed for bevægelse forårsaget udefra. I praksis gælder det pneumatiske systemer med resttryk, vertikale akser holdt af en bremse, elementer med inerti, holdestrømskredse og drev, som vender tilbage til den automatiske sekvens, når forsyningen kommer igen. Hvis disse forhold ikke identificeres fra starten, viser omkostningen sig ikke kun ved indkøb af ekstra komponenter. Omkostningerne til idriftsættelse og validering stiger også, fordi teamet skal dokumentere sikkerheden i en løsning, hvis arkitektur fra begyndelsen ikke omfattede alle grænsetilstande. Et godt beslutningsmål er her ikke antallet af anvendte afbrydere, men antallet af energiformer og driftstilstande, som teamet kan beskrive vejen til en sikker tilstand for, samt hvordan det bekræftes, at denne tilstand er opnået.

Et godt eksempel på en praktisk faldgrube er en serviceindgriben, som formelt ikke kræver, at man går “dybt” ind i maskinen, men som nødvendiggør åbning af en afskærmning og indgreb i et område, hvor der stadig findes hjælpedrev eller bevægelse som følge af styresekvensen. I sådanne tilfælde bevæger beslutningen om selve energiafbrydelsen sig hurtigt over i to nært beslægtede områder. For det første skal man vende tilbage til den metodiske risikovurdering for den konkrete handling, fordi det er den, der afgør, om fuld isolering af al energi er nødvendig, eller om der kan påvises en tilsvarende beskyttelsesforanstaltning. For det andet, hvis operatører eller vedligeholdelse regelmæssigt vil omgå den fastlagte procedure, er problemet ikke længere kun et spørgsmål om ISO 14118, men bevæger sig ind i området manipulation af sikkerhedsforanstaltninger og omgåelser. Det er vigtigt i et ansvarsperspektiv: En løsning, der kun virker, når brugeren handler på en måde, som er usandsynlig i reel drift, er ikke svag, fordi den “på papiret” er ukorrekt, men fordi projektet ikke tog højde for forudsigelig menneskelig adfærd.

Netop derfor bør henvisningen til ISO 14118 komme til sidst som en systematisering af beslutningen og ikke som en erstatning for analysen. Hvis nøglespørgsmålet er, om en given indgriben kræver fuld afbrydelse af alle energier, er den rigtige uddybning risikovurdering efter ISO 12100 og i mere komplekse tilfælde også praksis for risikovurdering beskrevet i hjælpedokumenter. Hvis problemet derimod bliver løsningens sårbarhed over for bevidst omgåelse, er området med låseanordninger og forebyggelse af manipulation et naturligt supplement. For projekteringsteamet betyder det én ting: Beslutningen om afbrydersystemet bør først godkendes, når den kan forsvares både teknisk, organisatorisk og driftsmæssigt. Ellers bliver den indledende besparelse meget let til forsinket overtagelse, omkostninger til ombygning eller et ansvar hos producenten eller integratoren, som er vanskeligt at afgrænse.