Προστασία από απρόβλεπτη εκκίνηση (ISO 14118) – ανάλυση συστημάτων απομόνωσης ενέργειας

Γιατί αυτό το θέμα έχει σήμερα σημασία

Η προστασία από απρόβλεπτη εκκίνηση δεν είναι πλέον μια κατασκευαστική λεπτομέρεια που μπορεί να αφεθεί για το τέλος του έργου. Στην πράξη, η απόφαση για το πώς θα απομονώνεται και θα εκτονώνεται η ενέργεια, καθώς και για το πώς θα επιβεβαιώνεται η ασφαλής κατάσταση κατά τις αλλαγές ρύθμισης, τον καθαρισμό, την απομάκρυνση εμπλοκών και τις εργασίες συντήρησης, επηρεάζει ταυτόχρονα την ασφάλεια των ανθρώπων, την αρχιτεκτονική του συστήματος ελέγχου, τον τρόπο παραλαβής του μηχανήματος και την ευθύνη του κατασκευαστή ή του integrator. Αν το θέμα αυτό αντιμετωπιστεί αποκλειστικά ως ζήτημα του «γενικού διακόπτη» ή μόνο της ακινητοποίησης της κίνησης, το έργο συνήθως επιστρέφει για τροποποιήσεις: προκύπτει ανάγκη για πρόσθετες βαλβίδες, διατάξεις μανδάλωσης, σημεία απομόνωσης, αλλαγές στις ακολουθίες ελέγχου και διορθώσεις στην τεχνική τεκμηρίωση. Αυτές δεν είναι παρεμβάσεις χωρίς κόστος. Τις περισσότερες φορές σημαίνουν μετατόπιση της ημερομηνίας θέσης σε λειτουργία, διαφωνία για το εύρος της προμήθειας και δυσκολότερη τεκμηρίωση των επιλεγμένων μέτρων προστασίας κατά την αξιολόγηση συμμόρφωσης.

Ο λόγος είναι απλός: η απρόβλεπτη εκκίνηση σπάνια οφείλεται σε ένα μόνο σφάλμα. Συνήθως είναι αποτέλεσμα λανθασμένης σχεδιαστικής παραδοχής ότι η διακοπή της κίνησης ισοδυναμεί με εξάλειψη του κινδύνου. Ωστόσο, σε πολλά μηχανήματα το πρόβλημα παραμένει η υπολειπόμενη ενέργεια, η αυτόματη επαναφορά της τροφοδοσίας, η πτώση στοιχείων λόγω βαρύτητας, η επανεκκίνηση μετά την επαναφορά σφάλματος ή η επέμβαση από πολλά ανεξάρτητα σημεία ελέγχου. Για την ομάδα σχεδιασμού αυτό σημαίνει ότι πρέπει να διαχωρίσει τρία ερωτήματα, τα οποία στην πράξη συχνά συγχέονται: τι πρέπει να σταματήσει, τι πρέπει να απομονωθεί και τι πρέπει να διατηρηθεί σε ασφαλή κατάσταση καθ’ όλη τη διάρκεια της παρουσίας ανθρώπου στη ζώνη κινδύνου. Ακριβώς εδώ λαμβάνονται οι αποφάσεις που αργότερα καθορίζουν το κόστος κατασκευής του πίνακα, των πνευματικών, των υδραυλικών, των διαδικασιών συντήρησης και της επικύρωσης.

Το πιο χρήσιμο κριτήριο λήψης απόφασης σε αυτό το στάδιο είναι το εξής: μετά την είσοδο ανθρώπου στη ζώνη κινδύνου, υπάρχει οποιαδήποτε διαδρομή μέσω της οποίας μπορεί να προκύψει επικίνδυνη κίνηση χωρίς συνειδητή ενέργεια εκ μέρους του και εκτός του ελέγχου του; Αν η απάντηση δεν είναι σαφώς αρνητική, η απλή λειτουργική ακινητοποίηση δεν επαρκεί και πρέπει να αναλυθούν η απομόνωση της ενέργειας και η προστασία από τη μη ηθελημένη επαναφορά της. Αξίζει αυτό να αξιολογείται όχι με δηλώσεις, αλλά με παρατηρήσιμους δείκτες του έργου: τον αριθμό των πηγών ενέργειας που απαιτούν απομόνωση, τον χρόνο που απαιτείται για την επίτευξη ασφαλούς κατάστασης, τον τρόπο επιβεβαίωσης της απουσίας ενέργειας, τον αριθμό των παρεμβάσεων του χειριστή που εκτελούνται εκτός παραγωγικού τρόπου λειτουργίας, καθώς και τον αριθμό των σημείων στα οποία το προσωπικό μπαίνει στον πειρασμό να «παρακάμψει» την προστασία, επειδή η σωστή διαδικασία είναι πολύ αργή ή πολύ επιβαρυντική. Το τελευταίο αποτελεί ήδη φυσικό σημείο επαφής με το ζήτημα της παραποίησης και των παρακάμψεων των διατάξεων προστασίας, επειδή η λανθασμένα επιλεγμένη απομόνωση ενέργειας πολύ συχνά δεν εξαλείφει το πρόβλημα, αλλά απλώς το μεταφέρει στην καθημερινή λειτουργία.

Ένα καλό παράδειγμα είναι ένας σταθμός με κινητό προφυλακτήρα, όπου μετά το άνοιγμα του προφυλακτήρα η κίνηση σταματά, αλλά ένας κατακόρυφος κύλινδρος παραμένει υπό πίεση και το σύστημα, μετά το κλείσιμο του προφυλακτήρα, επιστρέφει στον αυτόματο κύκλο. Τυπικά ο χειριστής «δεν θα έπρεπε» να εισέρχεται βαθύτερα στη ζώνη, όμως στην πράξη θα αφαιρεί τεμάχιο, θα καθαρίζει αισθητήρα ή θα διορθώνει τη θέση του αρπάγη. Αν σε ένα τέτοιο σενάριο δεν έχει προβλεφθεί ελεγχόμενη απομόνωση και εκτόνωση της ενέργειας, καθώς και οι συνθήκες επανεκκίνησης, τότε ο κίνδυνος δεν εμφανίζεται κατά την κανονική παραγωγή, αλλά ακριβώς κατά τις σύντομες, επαναλαμβανόμενες παρεμβάσεις. Από πλευράς σχεδιασμού, αυτή είναι η στιγμή που πρέπει να αποφασιστεί αν το πρόβλημα επιλύεται με ένα σωστά σχεδιασμένο σύστημα απομόνωσης ενέργειας ή αν το ζήτημα περνά στον τομέα των διατάξεων μανδάλωσης με κλείδωμα και του περιορισμού της δυνατότητας παράκαμψης. Αν οι παραδοχές χρήσης δεν είναι σαφείς, η απάντηση δεν προκύπτει από τη διαίσθηση, αλλά από μια αξιόπιστη αξιολόγηση κινδύνου που διενεργείται με πρακτικό τρόπο, με συνεκτίμηση των πραγματικών εργασιών που εκτελούνται στο μηχάνημα.

Μόνο σε αυτό το πλαίσιο μπορούν να ερμηνευθούν σωστά οι απαιτήσεις του ISO 14118. Το πρότυπο δεν υποκαθιστά την ανάλυση κινδύνου και δεν παρέχει ένα ενιαίο, καθολικό σχήμα απομόνωσης ενέργειας· οργανώνει όμως τον τρόπο σκέψης για την πρόληψη της απρόβλεπτης εκκίνησης σε προβλέψιμες καταστάσεις λειτουργίας και επέμβασης. Στην πράξη, πρέπει να διαβάζεται μαζί με την αξιολόγηση κινδύνου που διενεργείται σύμφωνα με την προσέγγιση που εφαρμόζεται στο ISO/TR 14121-2 και, όταν τίθεται θέμα προφυλακτήρων και διατάξεων μανδάλωσης, μαζί με τις απαιτήσεις για τον περιορισμό των παρακάμψεων. Αυτό έχει σημασία και ως προς την ευθύνη: αν το μηχάνημα παραδίδεται ως συγκρότημα, γραμμή ή ημιτελές μηχάνημα που προορίζεται για ενσωμάτωση, τα όρια ευθύνης για τις λειτουργίες απομόνωσης ενέργειας πρέπει να περιγράφονται με αρκετή ακρίβεια, ώστε να μη δημιουργηθεί κενό μεταξύ των προμηθευτών. Ακριβώς γι’ αυτό το θέμα απαιτεί αποφάσεις τώρα και όχι μετά την εγκατάσταση: η εκ των υστέρων προσθήκη «ασφαλούς απομόνωσης» σε μια έτοιμη σύλληψη σχεδόν πάντα κοστίζει περισσότερο από τον σωστό ορισμό της από την αρχή.

Πού αυξάνεται συχνότερα το κόστος ή ο κίνδυνος

Στα έργα που αφορούν την προστασία από απρόσμενη εκκίνηση, το κόστος σπάνια αυξάνεται επειδή κάποιος «έβαλε υπερβολικά πολλά μέτρα ασφαλείας». Πολύ συχνότερα, το πρόβλημα ξεκινά από μια λανθασμένα διατυπωμένη ερώτηση στην αρχή: αν απαιτείται απομόνωση της ενέργειας, ποιες πηγές ενέργειας πρέπει πράγματι να εκτονωθούν, ποιος εκτελεί την ενέργεια και σε ποια κατάσταση πρέπει να παραμείνει το μηχάνημα μετά την επέμβαση. Αν αυτές οι παραδοχές δεν έχουν καθοριστεί επαρκώς, η ομάδα σχεδιάζει μια λύση που φαίνεται απλή, αλλά επιστρέφει σε αυτή μετά τις δοκιμές παραλαβής, μετά από παρατηρήσεις του χρήστη ή μετά από ανάλυση ενός σεναρίου ατυχήματος. Τότε εμφανίζονται οι ακριβότερες διορθώσεις: αλλαγή της αρχιτεκτονικής ελέγχου, ανακατασκευή των πνευματικών ή υδραυλικών κυκλωμάτων, συμπλήρωση των πινάκων, νέες διαδικασίες και εκ νέου καθορισμός των ευθυνών μεταξύ του προμηθευτή του μηχανήματος, του integrator και του τελικού χρήστη. Το πρακτικό κριτήριο αξιολόγησης εδώ είναι σαφές: αν η ομάδα δεν μπορεί να περιγράψει ποια ενεργειακή κατάσταση του μηχανήματος απαιτείται για μια συγκεκριμένη εργασία επέμβασης, τότε η απόφαση για τον τρόπο απομόνωσης της ενέργειας είναι ακόμη πρόωρη.

Δεύτερη πηγή κόστους είναι η ταύτιση της απομόνωσης της ενέργειας με την απλή διακοπή της κίνησης. Αυτό είναι σφάλμα, ιδιαίτερα συχνό όπου υπάρχουν περισσότερα από ένα μέσα ή αποθηκευμένη ενέργεια: υπολειμματική πίεση, πτώση στοιχείων λόγω βαρύτητας, κίνηση από αδράνεια, ελατήρια, υδραυλικοί συσσωρευτές, κινήσεις που διατηρούν θέση. Σε τέτοια συστήματα, η «απενεργοποίηση» δεν σημαίνει κατ’ ανάγκη ασφαλή κατάσταση για τον άνθρωπο που εκτελεί αλλαγή ρύθμισης, καθαρισμό ή απομάκρυνση εμπλοκής. Η συνέπεια για τον σχεδιασμό είναι απλή: αν η λειτουργία απομόνωσης δεν περιλαμβάνει εκτόνωση της υπολειμματικής ενέργειας ή ελεγχόμενη διατήρηση της ασφαλούς κατάστασης, πρέπει να ληφθεί υπόψη όχι μόνο η τροποποίηση της εγκατάστασης, αλλά και η ευθύνη για εσφαλμένα καθορισμένους περιορισμούς χρήσης. Στην πράξη, πριν εγκριθεί η ιδέα, αξίζει να αξιολογηθούν τρία πράγματα: αν μετά την απομόνωση παραμένει ενέργεια που μπορεί να προκαλέσει κίνηση, αν ο χειριστής μπορεί να το επαληθεύσει χωρίς αποσυναρμολόγηση των προστατευτικών και αν η επαναφορά της τροφοδοσίας αποκαθιστά από μόνη της τη δυνατότητα εκκίνησης.

Ένα τυπικό παράδειγμα αφορά σταθμό με πνευματικές κινήσεις, όπου θεωρήθηκε ότι μια κεντρική βαλβίδα απομόνωσης αποτελεί επαρκή λύση. Στο σχέδιο αυτό φαίνεται σωστό, αλλά κατά τη λειτουργία αποδεικνύεται ότι ορισμένοι κύλινδροι διατηρούν τη θέση τους χάρη σε πίεση που έχει παγιδευτεί τοπικά, ενώ με την επαναφορά της τροφοδοσίας το σύστημα επιστρέφει σε κατάσταση ετοιμότητας ταχύτερα απ’ όσο προβλέπει η ακολουθία ενεργειών του προσωπικού. Τότε το κόστος δεν προκύπτει μόνο από την προσθήκη βαλβίδων εξαέρωσης ή μηχανικών ασφαλίσεων. Προστίθενται η καθυστέρηση της παραλαβής, η επικαιροποίηση της τεκμηρίωσης, ο εκ νέου έλεγχος της λογικής ελέγχου και, σε ορισμένες περιπτώσεις, η αλλαγή των οδηγιών και της εκπαίδευσης. Αυτό είναι ακριβώς το σημείο όπου το θέμα περνά από την απλή επιλογή ενός στοιχείου απομόνωσης στον χώρο της πρακτικής αξιολόγησης κινδύνου σύμφωνα με το ISO 12100: πρέπει να ληφθούν υπόψη οι πραγματικές εργασίες, τα προβλέψιμα ανθρώπινα σφάλματα και ο τρόπος πρόσβασης στην επικίνδυνη ζώνη. Στα υδραυλικά συστήματα προστίθεται ακόμη το ερώτημα αν η εκτόνωση της ενέργειας επιδεινώνει τη σταθερότητα του φορτίου· τότε η σχεδιαστική απόφαση πρέπει να εξετάζεται μαζί με τις απαιτήσεις για την ασφαλή καθοδήγηση και τη διατήρηση της πίεσης στο σύστημα.

Μόνο σε αυτό το στάδιο η αναφορά στο ISO 14118 βάζει τάξη στην απόφαση, χωρίς όμως να την υποκαθιστά. Το πρότυπο δείχνει την κατεύθυνση: πρόληψη της απρόσμενης εκκίνησης μέσω σωστής απομόνωσης, εκτόνωσης ή ελέγχου της ενέργειας, καθώς και μέσω οργανωτικών και τεχνικών μέτρων ανάλογων με τις προβλεπόμενες επεμβάσεις. Αν όμως η διαφωνία στην ομάδα αφορά το αν μια συγκεκριμένη εργασία είναι «εργασία με το μηχάνημα ακινητοποιημένο» ή ήδη επέμβαση που απαιτεί πλήρη απομόνωση της ενέργειας, αυτό είναι ένδειξη ότι πρέπει να επιστρέψουμε στη μεθοδολογία της αξιολόγησης κινδύνου σύμφωνα με το ISO 12100 που εφαρμόζεται στην πράξη και όχι να αναζητούμε την απάντηση μόνο στο ίδιο το διάγραμμα. Αντίστοιχα, όταν η λύση βασίζεται στο άνοιγμα προστατευτικού και στη διακοπή πρόσβασης, εμφανίζεται γρήγορα ένα δεύτερο πρόβλημα: μήπως η κατασκευή ωθεί σε παράκαμψη του μέτρου προστασίας, επειδή η διαδικασία απομόνωσης είναι πολύ αργή ή υπερβολικά επιβαρυντική. Τότε το θέμα συνδέεται φυσικά και με τον περιορισμό των χειρισμών παράκαμψης των διατάξεων ασφαλείας. Για τον υπεύθυνο έργου, το σημαντικότερο κριτήριο απόφασης δεν είναι λοιπόν «ποια συσκευή να χρησιμοποιηθεί», αλλά «αν ο επιλεγμένος τρόπος απομόνωσης παρέχει μια επαναλήψιμη, επαληθεύσιμη ασφαλή κατάσταση για τη συγκεκριμένη εργασία και τη συγκεκριμένη πρόσβαση». Αν η απάντηση δεν είναι σαφής, το κόστος θα αυξηθεί αργότερα, συνήθως σε λιγότερο ελεγχόμενο στάδιο του έργου.

Πώς να προσεγγίσετε το θέμα στην πράξη

Στην πράξη, το ζήτημα της προστασίας από απροσδόκητη εκκίνηση δεν ξεκινά από την επιλογή αποζεύκτη, βαλβίδας ή διαδικασίας θέσης εκτός λειτουργίας, αλλά από τη σαφή οργάνωση της απόφασης για το ποιες παρεμβάσεις θα εκτελούνται πράγματι στο μηχάνημα και σε ποια τεχνική κατάσταση πρέπει αυτό να βρίσκεται τότε. Η απόφαση αυτή επηρεάζει άμεσα την αρχιτεκτονική του συστήματος, το εύρος της τεκμηρίωσης, τον χρόνο θέσης σε λειτουργία και την ευθύνη του κατασκευαστή ή του integrator. Αν η ομάδα σχεδιασμού υιοθετήσει υπερβολικά επιεική παραδοχή και αντιμετωπίσει μια εργασία συντήρησης ως απλή εξυπηρέτηση με το μηχάνημα ακινητοποιημένο, ο κίνδυνος θα επανεμφανιστεί κατά την παραλαβή, την επικύρωση ή ακόμη και μετά την παράδοση του μηχανήματος σε λειτουργία. Αντίθετα, αν η παραδοχή είναι υπερβολικά αυστηρή, το κόστος θα αυξηθεί λόγω πιο εκτεταμένων διατάξεων απομόνωσης, πρόσθετου εξοπλισμού, μεγαλύτερης πολυπλοκότητας των ακολουθιών και μειωμένης τεχνικής διαθεσιμότητας. Γι’ αυτό, το πρακτικό κριτήριο της απόφασης πρέπει να είναι ένα: αν για τη συγκεκριμένη εργασία μπορεί να επιτευχθεί και να επιβεβαιωθεί ασφαλής κατάσταση, η οποία να εξαλείφει την πιθανότητα ακούσιας κίνησης και ανεξέλεγκτης απελευθέρωσης ενέργειας.

Αυτό σημαίνει ότι ο manager ή ο ιδιοκτήτης του προϊόντος πρέπει να απαιτήσει από την ομάδα περιγραφή των εργασιών όχι με όρους λειτουργιών του μηχανήματος, αλλά με όρους πρόσβασης και ενέργειας. Πρέπει να είναι σαφές ποιος εισέρχεται στη ζώνη, τι αγγίζει, ποια προστατευτικά ανοίγει, ποιες κινήσεις μπορούν να εκτελέσουν οι κινήσεις μετάδοσης ως υπολειμματική κίνηση, πού παραμένει πίεση, στήριξη λόγω βαρύτητας ή αποθηκευμένη ενέργεια σε ελαστικά στοιχεία. Μόνο πάνω σε αυτή τη βάση μπορεί να κριθεί αν αρκεί η απομόνωση ενός μόνο μέσου ή αν απαιτείται απομόνωση πολλών πηγών μαζί με εκτόνωση της ενέργειας και προστασία από επανενεργοποίηση. Σε αυτό το σημείο, το θέμα περνά φυσικά στην πρακτική αξιολόγηση κινδύνου σύμφωνα με το ISO 12100: αν η διαφωνία αφορά το όριο ανάμεσα στη «διακοπή για παρέμβαση» και στην «εργασία που απαιτεί πλήρη απομόνωση», τότε δεν πρόκειται πλέον για ζήτημα του εκτελεστικού οργάνου, αλλά για θέμα ταξινόμησης του κινδύνου, προβλέψιμης χρήσης και εσφαλμένα θεωρούμενης συμπεριφοράς του χρήστη.

Ένα καλό παράδειγμα είναι ένας σταθμός με ηλεκτρική κίνηση και πνευματικούς κυλίνδρους, στον οποίο ο χειριστής επεμβαίνει περιοδικά για να απομακρύνει εμπλοκή υλικού. Τυπικά, το μηχάνημα μπορεί να είναι ακινητοποιημένο, αλλά αυτό από μόνο του δεν καθορίζει ακόμη την ασφάλεια της παρέμβασης. Αν μετά τη διακοπή παραμένει πίεση που μπορεί να μετακινήσει ένα λειτουργικό στοιχείο ή αν η κίνηση μπορεί να επανενεργοποιηθεί από τον αυτοματισμό, τότε η απλή εντολή «stop» δεν λύνει το πρόβλημα. Η σχεδιαστική απόφαση πρέπει τότε να απαντά όχι μόνο στο πώς θα απομονωθεί η ενέργεια, αλλά και στο πώς ο χρήστης θα αναγνωρίζει ότι η ασφαλής κατάσταση έχει πράγματι επιτευχθεί και διατηρείται. Αν η απαιτούμενη διαδικασία είναι χρονοβόρα, άβολη ή ασαφής, αυξάνεται ο κίνδυνος παράκαμψης των προστατευτικών μέτρων και, συνεπώς, εμφανίζεται ένα πρόσθετο κατασκευαστικό πρόβλημα που σχετίζεται με την ευπάθεια σε χειραγώγηση. Αυτό συνήθως κοστίζει περισσότερο από τη σωστή αναγνώριση της κατάστασης από την αρχή, επειδή οι μεταγενέστερες διορθώσεις δεν αφορούν πλέον μία μόνο συσκευή, αλλά τη λογική ελέγχου, τα προστατευτικά, τις οδηγίες και την επικύρωση.

• αν η απομόνωση καλύπτει όλες τις μορφές ενέργειας που μπορούν να προκαλέσουν κίνηση ή απελευθέρωση κινδύνου,
• αν η ασφαλής κατάσταση είναι ορατή ή με άλλο τρόπο σαφώς επαληθεύσιμη,
• αν η επανενεργοποίηση απαιτεί συνειδητή ενέργεια και δεν θα συμβεί αυτόματα μετά την αποκατάσταση της τροφοδοσίας.

Μόνο μετά από αυτή την τακτοποίηση αξίζει να περάσει κανείς στις κανονιστικές αναφορές. Όταν το προστατευτικό μέτρο βασίζεται στην υλοποίηση λειτουργίας μέσω του συστήματος ελέγχου και όχι αποκλειστικά μέσω μηχανικής απομόνωσης της ενέργειας, το ζήτημα περνά στο πεδίο των απαιτήσεων για τις λειτουργίες ασφάλειας και την αξιοπιστία τους. Όταν, αντίθετα, καθοριστικό γίνεται το αν μια συγκεκριμένη παρέμβαση απαιτεί πλήρη απομόνωση ή αν είναι αποδεκτή άλλη μέθοδος προστασίας, είναι αναγκαία η επιστροφή στη μεθοδική αναγνώριση κινδύνων σύμφωνα με το ISO 12100. Στη σχεδιαστική πράξη, αυτά δεν είναι ξεχωριστοί κόσμοι, αλλά διαδοχικά επίπεδα της ίδιας απόφασης. Το ISO 14118 οργανώνει τον τρόπο σκέψης για την απομόνωση και την πρόληψη της απροσδόκητης εκκίνησης, αλλά δεν απαλλάσσει την ομάδα από την υποχρέωση να αποδείξει ότι η λύση είναι κατάλληλη για την προβλεπόμενη εργασία, ανθεκτική στις συνήθεις παρακάμψεις και ότι μπορεί να επικυρωθεί χωρίς να αφήνει «γκρίζες ζώνες» ευθύνης.

Τι να προσέξετε κατά την υλοποίηση

Το συνηθέστερο σφάλμα κατά την εφαρμογή προστασίας από απρόσμενη εκκίνηση είναι ότι η ομάδα αντιμετωπίζει την απομόνωση της ενέργειας ως μια απλή επιλογή εξοπλισμού, ενώ στην πραγματικότητα πρόκειται για απόφαση που καθορίζει τα όρια ευθύνης σε λειτουργικό, συντηρησιακό και σχεδιαστικό επίπεδο. Αν η λύση δεν ορίζει με σαφήνεια ποιος, πότε και σε ποια κατάσταση της μηχανής μπορεί να εισέλθει στην επικίνδυνη ζώνη, τότε ακόμη και μια τεχνικά ορθή διάταξη απομόνωσης δεν εξαλείφει τον κίνδυνο. Οι συνέπειες για το έργο είναι συνήθως δαπανηρές: καθυστερημένες διορθώσεις στην τεκμηρίωση, πρόσθετος εξοπλισμός στους ηλεκτρικούς πίνακες, αλλαγές στη λογική ελέγχου και, στο τέλος, διαφωνία για το αν ο κατασκευαστής είχε προβλέψει τον σωστό τρόπο επέμβασης. Το πρακτικό κριτήριο αξιολόγησης εδώ είναι απλό: πριν από την έγκριση της λύσης, πρέπει να μπορεί να αποδειχθεί για κάθε προβλεπόμενη ενέργεια αν η απομόνωση εξαλείφει πράγματι την πιθανότητα δημιουργίας κίνησης, απελευθέρωσης ενέργειας ή επαναφοράς της λειτουργίας χωρίς συνειδητή ανθρώπινη ενέργεια.

Στο στάδιο του σχεδιασμού, ιδιαίτερα επικίνδυνες είναι οι λύσεις που είναι «σχεδόν επαρκείς», δηλαδή εκείνες που αποσυνδέουν την κύρια τροφοδοσία αλλά αφήνουν ενεργές βοηθητικές πηγές ενέργειας, αποθηκευμένη ενέργεια ή τη δυνατότητα κίνησης που προκαλείται εξωτερικά. Στην πράξη, αυτό αφορά πνευματικά συστήματα με υπολειμματική πίεση, κατακόρυφους άξονες που συγκρατούνται με φρένο, στοιχεία με αδράνεια, κυκλώματα διατήρησης και κινήσεις που, μετά την επαναφορά της τροφοδοσίας, επιστρέφουν στην αυτόματη ακολουθία. Αν αυτά τα φαινόμενα δεν εντοπιστούν από την αρχή, το κόστος δεν εμφανίζεται μόνο στην αγορά πρόσθετων εξαρτημάτων. Αυξάνονται επίσης τα κόστη θέσης σε λειτουργία και επικύρωσης, επειδή η ομάδα πρέπει να αποδείξει την ασφάλεια μιας λύσης της οποίας η αρχιτεκτονική εξαρχής δεν κάλυπτε όλες τις οριακές καταστάσεις. Ένα καλό κριτήριο λήψης απόφασης εδώ δεν είναι ο αριθμός των αποζευκτών που χρησιμοποιήθηκαν, αλλά ο αριθμός των μορφών ενέργειας και των τρόπων λειτουργίας για τους οποίους η ομάδα μπορεί να περιγράψει τη διαδρομή προς την ασφαλή κατάσταση, καθώς και τον τρόπο επιβεβαίωσης ότι αυτή η κατάσταση έχει επιτευχθεί.

Χαρακτηριστικό παράδειγμα πρακτικής παγίδας είναι μια επέμβαση συντήρησης που τυπικά δεν απαιτεί είσοδο «σε βάθος» μέσα στη μηχανή, αλλά επιβάλλει το άνοιγμα προστατευτικού και την πρόσβαση σε περιοχή όπου παραμένει βοηθητική κίνηση ή κίνηση που προκύπτει από την ακολουθία ελέγχου. Σε τέτοιες περιπτώσεις, η απόφαση για την ίδια την απομόνωση της ενέργειας επεκτείνεται γρήγορα σε δύο γειτονικά πεδία. Πρώτον, πρέπει να γίνει επιστροφή στη μεθοδική αξιολόγηση κινδύνου για τη συγκεκριμένη ενέργεια, γιατί αυτή είναι που κρίνει αν απαιτείται πλήρης απομόνωση όλων των μορφών ενέργειας ή αν μπορεί να τεκμηριωθεί ένα ισοδύναμο προστατευτικό μέτρο. Δεύτερον, αν οι χειριστές ή η συντήρηση θα παρακάμπτουν συστηματικά την προβλεπόμενη διαδικασία, το πρόβλημα παύει να είναι αποκλειστικά ζήτημα του ISO 14118 και εισέρχεται στο πεδίο της παραβίασης των διατάξεων προστασίας και των παρακάμψεων. Αυτό είναι σημαντικό από πλευράς ευθύνης: μια λύση που λειτουργεί μόνο όταν ο χρήστης ενεργεί με τρόπο λίγο πιθανό στην πραγματική χρήση είναι αδύναμη όχι επειδή είναι μη συμμορφούμενη «στα χαρτιά», αλλά επειδή ο σχεδιασμός δεν έλαβε υπόψη την προβλέψιμη ανθρώπινη συμπεριφορά.

Ακριβώς γι’ αυτό η αναφορά στο ISO 14118 θα πρέπει να εμφανίζεται στο τέλος, ως στοιχείο οργάνωσης των αποφάσεων, και όχι ως υποκατάστατο της ανάλυσης. Αν το βασικό ερώτημα είναι αν μια συγκεκριμένη επέμβαση απαιτεί πλήρη απομόνωση όλων των μορφών ενέργειας, η σωστή συνέχεια είναι η αξιολόγηση κινδύνου σύμφωνα με το ISO 12100 και, σε πιο σύνθετες περιπτώσεις, επίσης η πρακτική της εκτίμησης κινδύνου όπως περιγράφεται σε βοηθητικά έγγραφα. Αν, αντίθετα, το πρόβλημα γίνεται η ευπάθεια της λύσης σε συνειδητή παράκαμψη, τότε το φυσικό συμπλήρωμα είναι το πεδίο των διατάξεων αλληλοασφάλισης και της πρόληψης χειραγώγησης. Για την ομάδα σχεδιασμού αυτό σημαίνει ένα πράγμα: η απόφαση για το σύστημα απομόνωσης πρέπει να εγκρίνεται μόνο όταν μπορεί να υποστηριχθεί ταυτόχρονα σε τεχνικό, οργανωτικό και επιχειρησιακό επίπεδο. Διαφορετικά, η εξοικονόμηση στην αρχή μετατρέπεται πολύ εύκολα σε καθυστέρηση παραλαβής, κόστος ανακατασκευής ή σε ευθύνη που δύσκολα αποσείεται από την πλευρά του κατασκευαστή ή του integrator.