Protección contra la puesta en marcha inesperada (ISO 14118): análisis de los sistemas de corte de energía

Por qué este tema es importante hoy

La protección frente a la puesta en marcha inesperada ya no es un detalle de ejecución que pueda dejarse para el final del proyecto. En la práctica, la decisión sobre cómo cortar y disipar la energía, y cómo confirmar el estado seguro durante cambios de formato, limpieza, desatascos y trabajos de servicio, influye al mismo tiempo en la seguridad de las personas, en la arquitectura del sistema de control, en la forma de recepcionar la máquina y en la responsabilidad del fabricante o del integrador. Si este asunto se aborda únicamente como una cuestión del «interruptor principal» o solo de la parada del accionamiento, el proyecto suele volver a revisión: aparece la necesidad de añadir válvulas, enclavamientos, puntos de aislamiento, cambios en las secuencias de control y correcciones en la documentación técnica. No son modificaciones neutras en términos de coste. Lo más habitual es que impliquen un retraso en la puesta en marcha, una discusión sobre el alcance del suministro y una justificación más difícil de las medidas de protección adoptadas durante la evaluación de la conformidad en el marco de la certificación CE de máquinas.

La razón es sencilla: la puesta en marcha inesperada rara vez se debe a un único error. Normalmente es consecuencia de una premisa de diseño incorrecta: asumir que detener el movimiento equivale a eliminar el peligro. Sin embargo, en muchas máquinas el problema sigue siendo la energía residual, el retorno automático de la alimentación, la caída de elementos por efecto de la gravedad, el rearranque tras borrar un fallo o la intervención desde varias fuentes de control independientes. Para el equipo de diseño, esto significa que hay que separar tres preguntas que en la práctica a menudo se confunden: qué hay que detener, qué hay que aislar y qué debe mantenerse en estado seguro durante todo el tiempo en que una persona permanece dentro de la zona de peligro. Es precisamente aquí donde se toman decisiones que después determinan el coste de ejecución del armario, de la neumática, de la hidráulica, de los procedimientos de servicio y de la validación.

El criterio de decisión más útil en esta fase es el siguiente: una vez que una persona entra en la zona de peligro, ¿existe alguna vía por la que pueda generarse un movimiento peligroso sin una acción consciente por su parte y fuera de su control? Si la respuesta no es inequívocamente negativa, la simple parada funcional no basta y es necesario analizar el corte de energía y la protección frente a su restablecimiento no intencionado. Conviene evaluarlo no mediante declaraciones, sino a partir de indicadores observables del proyecto: el número de fuentes de energía que requieren aislamiento, el tiempo necesario para alcanzar el estado seguro, la forma de confirmar la desaparición de la energía, el número de intervenciones del operario realizadas fuera del modo de producción y el número de puntos en los que el personal se siente tentado a «puentear» la protección porque el procedimiento correcto es demasiado lento o demasiado engorroso. Este último aspecto ya conecta de forma natural con la cuestión de la manipulación de resguardos y de los bypass, porque un corte de energía mal planteado muy a menudo no elimina el problema, sino que lo traslada a la explotación diaria.

Un buen ejemplo es un puesto con resguardo móvil en el que, al abrir el resguardo, se detiene el accionamiento, pero un cilindro vertical permanece presurizado y el sistema, al cerrar de nuevo el resguardo, vuelve al ciclo automático. Formalmente, el operario «no debería» entrar más en profundidad en la zona, pero en realidad retirará una pieza, limpiará un sensor o corregirá la posición de la pinza. Si en un escenario así no se ha previsto un corte controlado y la disipación de la energía, así como las condiciones de rearranque, el peligro no aparece durante la producción normal, sino precisamente durante intervenciones breves y repetitivas. Desde el punto de vista del proyecto, este es el momento en el que hay que decidir si el problema se resuelve con un sistema de corte de energía correctamente diseñado o si la cuestión pasa al ámbito de los dispositivos de enclavamiento con bloqueo y de la limitación de las posibilidades de bypass. Si las hipótesis de uso no están claras, la respuesta no se obtiene por intuición, sino a partir de un análisis de riesgos realizado de forma práctica, con identificación de peligros según ISO 12100 y teniendo en cuenta las tareas reales que se llevan a cabo en la máquina.

Solo en este contexto se interpretan con sentido los requisitos de ISO 14118. La norma no sustituye al análisis de riesgos ni ofrece un único esquema universal de corte de energía; lo que hace es ordenar la forma de pensar sobre la prevención de la puesta en marcha inesperada en estados previsibles de funcionamiento e intervención. En la práctica, debe leerse junto con la evaluación del riesgo según ISO 12100, conforme al enfoque aplicado en ISO/TR 14121-2 y, cuando aparece la cuestión de los resguardos y los enclavamientos, con los requisitos relativos a la limitación de la manipulación. Esto también tiene importancia desde el punto de vista de la responsabilidad: si la máquina se suministra como conjunto, línea o máquina incompleta prevista para su integración, los límites de responsabilidad sobre las funciones de corte de energía deben describirse con la suficiente precisión para que no se genere un vacío entre proveedores. Precisamente por eso este tema exige una decisión ahora, y no después del montaje: añadir tarde un «corte seguro» a un concepto ya cerrado casi siempre cuesta más que definirlo correctamente desde el principio en el proceso de diseño y construcción de máquinas.

Dónde suele aumentar el coste o el riesgo

En los proyectos relacionados con la protección frente al arranque inesperado, el coste rara vez aumenta porque alguien «haya añadido demasiada seguridad». Mucho más a menudo, el problema nace de una pregunta mal planteada al inicio: si es necesario aislar la energía, qué fuentes de energía deben disiparse realmente, quién realiza la intervención y en qué estado debe quedar la máquina después de ella. Si estas premisas no están bien definidas, el equipo diseña una solución aparentemente sencilla y luego tiene que volver sobre ella tras las pruebas de aceptación, a raíz de observaciones del usuario o después de analizar un escenario de accidente. Es entonces cuando aparecen las correcciones más costosas: cambio de la arquitectura de control, modificación de la neumática o de la hidráulica, ampliación de armarios, nuevos procedimientos y una nueva delimitación de responsabilidades entre el proveedor de la máquina, el integrador y el usuario final. Aquí el criterio práctico de evaluación es claro: si el equipo no es capaz de describir qué estado energético de la máquina se requiere para una intervención concreta, la decisión sobre la forma de aislar la energía todavía es prematura.

La segunda fuente de coste es identificar el aislamiento de la energía con la mera parada del movimiento. Es un error especialmente frecuente allí donde existe más de un medio o energía almacenada: presión residual, caída de elementos por efecto de la gravedad, movimiento por inercia, muelles, acumuladores hidráulicos o accionamientos que mantienen la posición. En estos sistemas, «desconectar» no tiene por qué significar un estado seguro para la persona que realiza un cambio de formato, una limpieza o la eliminación de un atasco. La consecuencia desde el punto de vista del diseño es simple: si la función de aislamiento no incluye la disipación de la energía residual o el mantenimiento controlado de un estado seguro, hay que contar no solo con la modificación de la instalación, sino también con la responsabilidad derivada de haber definido incorrectamente las limitaciones de uso. En la práctica, conviene evaluar tres aspectos antes de aprobar el concepto: si tras el aislamiento queda energía capaz de provocar movimiento, si el operario puede verificarlo sin desmontar resguardos y si el restablecimiento de la alimentación restituye por sí solo la posibilidad de puesta en marcha.

Un ejemplo típico es el de una estación con accionamientos neumáticos en la que se ha adoptado una válvula central de corte como solución suficiente. En el esquema parece correcto, pero durante la explotación se comprueba que parte de los cilindros mantiene la posición gracias a la presión atrapada localmente y que, al volver a alimentar el sistema, este regresa al estado de disponibilidad más rápido de lo que prevé la secuencia de trabajo del personal. En ese momento, el coste no se debe únicamente a añadir válvulas de escape o bloqueos mecánicos. También hay que asumir la paralización de la aceptación, la actualización de la documentación, la nueva verificación de la lógica de control y, en ocasiones, la modificación de las instrucciones y de la formación. Ese es precisamente el momento en que el asunto deja de ser una simple selección de un elemento de corte y pasa al terreno de la evaluación del riesgo según ISO 12100: hay que referirse a las tareas reales, a los errores humanos previsibles y a la forma de acceso a la zona peligrosa. En los sistemas hidráulicos se añade además otra cuestión: si la disipación de la energía no empeora la estabilidad de la carga; en ese caso, la decisión de diseño debe interpretarse conjuntamente con los requisitos para la conducción segura y el mantenimiento de la presión en el sistema.

Solo en esta fase la referencia a ISO 14118 ayuda a ordenar la decisión, pero no la sustituye. La norma marca la dirección: prevenir el arranque inesperado mediante un aislamiento, una disipación o un control adecuados de la energía, así como mediante medidas organizativas y técnicas acordes con las intervenciones previsibles. Sin embargo, si la discusión dentro del equipo gira en torno a si una determinada tarea es «trabajo con la máquina parada» o ya una intervención que exige el aislamiento completo de la energía, eso indica que hay que volver a la metodología de identificación de peligros conforme a ISO 12100 y de evaluación del riesgo aplicada en la práctica, en lugar de buscar la respuesta únicamente en el esquema. A su vez, cuando la solución se basa en la apertura de un resguardo y en el bloqueo del acceso, enseguida aparece un segundo problema: si el diseño no induce a puentear la protección porque el procedimiento de aislamiento es demasiado lento o demasiado engorroso. En ese punto, el tema enlaza de forma natural también con la limitación de la manipulación de los resguardos. Para el jefe de proyecto, el criterio de decisión más importante no es, por tanto, «qué aparato aplicar», sino «si la forma de aislamiento elegida proporciona un estado seguro repetible y verificable para una tarea concreta y un acceso concreto». Si la respuesta no es inequívoca, el coste aumentará más adelante, normalmente en una fase menos controlada del proyecto, también desde la perspectiva de la gestión de proyectos.

Cómo abordar el tema en la práctica

En la práctica, la protección frente a una puesta en marcha inesperada no empieza por elegir un seccionador, una válvula o un procedimiento de parada, sino por ordenar la decisión sobre qué intervenciones se van a realizar realmente en la máquina y en qué estado técnico debe encontrarse en ese momento. Esta decisión influye directamente en la arquitectura del sistema, el alcance de la documentación, el tiempo de puesta en marcha y la responsabilidad del fabricante o del integrador. Si el equipo de proyecto parte de una hipótesis demasiado permisiva y trata una tarea de servicio como una operación ordinaria con la máquina parada, el riesgo reaparecerá en la recepción, en la validación o incluso después de la entrega de la máquina para su uso. Si, por el contrario, el planteamiento es excesivamente restrictivo, el coste aumentará por la ampliación de los sistemas de corte, los equipos adicionales, una mayor complejidad de las secuencias y la reducción de la disponibilidad técnica. Por eso, el criterio práctico de decisión debería ser uno solo: si para una tarea concreta es posible alcanzar y confirmar un estado seguro que elimine la posibilidad de movimiento no intencionado y de liberación no controlada de energía.

Esto significa que el responsable o titular del producto debe exigir al equipo que describa las tareas no en el lenguaje de las funciones de la máquina, sino en el del acceso y la energía. Hay que saber quién entra en la zona, qué toca, qué resguardos abre, qué accionamientos pueden generar un movimiento residual y dónde permanece presión, apoyo gravitatorio o energía acumulada en elementos elásticos. Solo sobre esta base puede decidirse si basta con cortar un único medio o si es necesario aislar varias fuentes junto con la disipación de la energía y la protección frente a una reconexión. En este punto, el tema conduce de forma natural a una evaluación del riesgo según ISO 12100: si la discusión se centra en el límite entre «parada para intervención» y «trabajo que requiere aislamiento completo», entonces ya no se trata de un problema del elemento de maniobra, sino de la clasificación del peligro, del uso previsto y de comportamientos del usuario asumidos erróneamente.

Un buen ejemplo es un puesto con accionamiento eléctrico y cilindros neumáticos al que el operario accede periódicamente para eliminar un atasco de material. Formalmente, la máquina puede estar parada, pero eso por sí solo no determina que la intervención sea segura. Si después de la parada queda presión capaz de desplazar un elemento de trabajo o el accionamiento puede reactivarse de nuevo por la automatización, la simple orden de «stop» no resuelve el problema. En ese caso, la decisión de diseño debe responder no solo a cómo cortar la energía, sino también a cómo va a reconocer el usuario que el estado seguro se ha alcanzado realmente y se mantiene. Si el procedimiento exigido es largo, incómodo o poco claro, aumenta el riesgo de eludir las protecciones y aparece así un problema adicional de diseño relacionado con la susceptibilidad a la manipulación. Esto suele costar más que identificar correctamente la situación desde el principio, porque las correcciones posteriores ya no afectan a un único aparato, sino a la lógica de control, los resguardos, el manual de instrucciones y la validación, especialmente en entornos de automatización industrial.

• si el corte abarca todas las energías que pueden provocar movimiento o la liberación del peligro,
• si el estado seguro es visible o, de otro modo, verificable de forma inequívoca,
• si la reconexión requiere una acción consciente y no se producirá automáticamente al restablecer la alimentación.

Solo después de poner orden en estos aspectos merece la pena pasar a las referencias normativas. Cuando la medida de protección consiste en ejecutar una función mediante el sistema de control, y no exclusivamente mediante el aislamiento mecánico de la energía, la cuestión entra en el ámbito de los requisitos aplicables a las funciones de seguridad y su fiabilidad. En cambio, cuando lo decisivo es determinar si una intervención concreta exige un corte completo o si puede admitirse otro método de protección, es necesario volver a una identificación de peligros conforme a ISO 12100 y a una evaluación metódica del riesgo. En la práctica del diseño no son mundos separados, sino capas sucesivas de una misma decisión. ISO 14118 ordena la forma de pensar sobre el corte de energía y la prevención de una puesta en marcha inesperada, pero no exime al equipo de demostrar que la solución es adecuada para la tarea prevista, resistente a las elusiones típicas y validable sin dejar «zonas grises» de responsabilidad.

Qué tener en cuenta durante la implantación

El error más habitual al implantar una protección frente a la puesta en marcha inesperada consiste en tratar el corte de energía como una simple elección de un aparato, cuando en realidad se trata de una decisión sobre los límites de responsabilidad operativa, de mantenimiento y de diseño. Si la solución no define de forma inequívoca quién, cuándo y en qué estado de la máquina puede acceder a la zona peligrosa, incluso un sistema de corte técnicamente correcto no elimina el riesgo. Para el proyecto, la consecuencia suele ser costosa: correcciones tardías de la documentación, equipamiento adicional en los cuadros eléctricos, cambios en la lógica de control y, al final, una discusión sobre si el fabricante previó el modo de intervención adecuado. El criterio práctico de evaluación aquí es sencillo: antes de aprobar la solución, debe poder demostrarse para cada operación prevista si el corte elimina realmente la posibilidad de que se produzca movimiento, liberación de energía o restablecimiento del funcionamiento sin una acción consciente de la persona.

En la fase de diseño, resultan especialmente peligrosas las soluciones «casi suficientes», es decir, aquellas que desconectan la alimentación principal, pero dejan fuentes de energía auxiliares, energía almacenada o la posibilidad de movimiento provocado desde el exterior. En la práctica, esto afecta a sistemas neumáticos con presión residual, ejes verticales mantenidos por freno, elementos con inercia, circuitos de retención y accionamientos que, al volver la alimentación, regresan a la secuencia automática. Si estos fenómenos no se identifican al principio, el coste no aparece solo en la compra de componentes adicionales. También aumentan los costes de puesta en marcha y validación, porque el equipo debe demostrar la seguridad de una solución cuya arquitectura no contemplaba desde el inicio todos los estados límite. Una buena medida para decidir no es el número de seccionadores utilizados, sino el número de energías y modos de funcionamiento para los que el equipo es capaz de describir el camino hacia un estado seguro y la forma de confirmar que ese estado se ha alcanzado.

Un buen ejemplo de trampa práctica es una intervención de servicio que, formalmente, no exige entrar «a fondo» en la máquina, pero obliga a abrir un resguardo y alcanzar una zona en la que sigue existiendo un accionamiento auxiliar o un movimiento derivado de la secuencia de control. En estos casos, la decisión sobre el simple corte de energía pasa rápidamente a dos ámbitos relacionados. En primer lugar, hay que volver a una evaluación del riesgo según ISO 12100 metódica para la operación concreta, porque es ella la que determina si es necesario el aislamiento completo de todas las energías o si puede justificarse una medida de protección equivalente. En segundo lugar, si los operarios o el personal de mantenimiento van a eludir de forma habitual el procedimiento previsto, el problema deja de ser exclusivamente una cuestión de ISO 14118 y entra en el terreno de la manipulación de los dispositivos de protección y de las soluciones de bypass. Esto es importante desde el punto de vista de la responsabilidad: una solución que solo funciona cuando el usuario actúa de una manera poco probable en la explotación real es débil no porque sea incorrecta «sobre el papel», sino porque el diseño no tuvo en cuenta el comportamiento previsible de las personas.

Precisamente por eso, la referencia a ISO 14118 debería aparecer al final como una forma de ordenar la decisión, y no como sustituto del análisis. Si la pregunta clave es si una determinada intervención requiere el corte completo de todas las energías, el desarrollo adecuado es la evaluación del riesgo según ISO 12100 y, en los casos más complejos, también la práctica de estimación del riesgo descrita en documentos de apoyo. Si, por el contrario, el problema pasa a ser la vulnerabilidad de la solución frente a una elusión deliberada, el complemento natural es el ámbito de los dispositivos de enclavamiento y la prevención de manipulaciones. Para el equipo de diseño, esto significa una sola cosa: la decisión sobre el sistema de corte solo debe aprobarse cuando pueda defenderse al mismo tiempo desde el punto de vista técnico, organizativo y operativo. De lo contrario, el ahorro inicial se transforma con mucha facilidad en un retraso en la recepción, un coste de modificación o una responsabilidad difícil de diluir por parte del fabricante o del integrador, algo que a menudo se detecta también en una auditoría de seguridad de máquinas y líneas de producción o al abordar la adaptación de las máquinas a los requisitos mínimos.