Kaitse ootamatu käivitumise eest (ISO 14118) – energia eraldussüsteemide analüüs

Miks see teema on täna oluline

Kaitse ootamatu käivitumise eest ei ole enam teostuslik detail, mille võib jätta projekti lõppu. Praktikas mõjutab otsus, kuidas energiat katkestada ja hajutada ning kuidas kinnitada ohutu olek ümberseadistamise, puhastamise, ummistuste kõrvaldamise ja hooldustööde ajal, korraga nii inimeste ohutust, juhtimissüsteemi arhitektuuri, masina vastuvõtuviisi kui ka tootja või integraatori vastutust. Kui seda teemat käsitletakse üksnes „pealüliti” küsimusena või ainult ajami seiskamisena, tuleb projekt tavaliselt ümber teha: tekib vajadus täiendavate ventiilide, lukustuste, isolatsioonipunktide, juhtimisjärjestuste muudatuste ja tehnilise dokumentatsiooni paranduste järele. Need ei ole kuluneutraalsed muudatused. Enamasti tähendavad need kasutuselevõtu tähtaja nihkumist, vaidlust tarneulatuse üle ja keerulisemat põhjendamist valitud kaitsemeetmete osas vastavushindamise käigus.

Põhjus on lihtne: ootamatu käivitumine tuleneb harva ühestainsast veast. Tavaliselt on selle taga vale projekteerimiseeldus, et liikumise peatamine on võrdne ohu kõrvaldamisega. Tegelikult jäävad paljudes masinates probleemiks jääkenergia, toite iseeneslik taastumine, elementide allavajumine raskusjõu mõjul, taaskäivitus pärast vea lähtestamist või sekkumine mitmest sõltumatust juhtimisallikast. Projekteerimismeeskonna jaoks tähendab see vajadust eristada kolme küsimust, mida praktikas sageli segi aetakse: mida tuleb peatada, mida tuleb isoleerida ja mida tuleb hoida ohutus olekus kogu selle aja jooksul, mil inimene viibib ohualas. Just siin tehakse otsused, mis määravad hiljem elektrikapi, pneumaatika, hüdraulika, hooldusprotseduuride ja valideerimise maksumuse.

Selles etapis on kõige kasulikum otsustuskriteerium järgmine: kas pärast inimese sisenemist ohualasse on olemas ükskõik milline tee, mille kaudu võib ohtlik liikumine tekkida ilma tema teadliku tegevuseta ja väljaspool tema kontrolli. Kui vastus ei ole üheselt eitav, ei piisa üksnes funktsionaalsest seiskamisest ning tuleb analüüsida energia katkestamist ja kaitset selle soovimatu taastamise vastu. Seda tasub hinnata mitte deklaratsiooni, vaid projekti jälgitavate näitajate alusel: mitu energiaallikat vajab isoleerimist, kui palju aega kulub ohutu oleku saavutamiseks, kuidas kinnitatakse energia kadumist, kui palju operaatori sekkumisi tehakse väljaspool tootmisrežiimi ning kui palju on kohti, kus personalil tekib kiusatus kaitsest „mööda minna”, sest õige protseduur on liiga aeglane või liiga koormav. Viimane puutub juba loomulikult kokku kaitsevahendite manipuleerimise ja neist möödahiilimise teemaga, sest valesti valitud energia katkestamine ei kõrvalda väga sageli probleemi, vaid nihutab selle igapäevasesse kasutusse.

Hea näide on liikuva kaitsekattega töökoht, kus pärast katte avamist ajam peatatakse, kuid vertikaalne silinder jääb rõhu alla ja süsteem naaseb pärast katte sulgemist automaattsüklisse. Formaalselt „ei tohiks” operaator sügavamale ohualasse minna, kuid tegelikkuses eemaldab ta detaili, puhastab andurit või korrigeerib haaratsi asendit. Kui sellise stsenaariumi puhul ei ole ette nähtud energia kontrollitud katkestamist ja hajutamist ning taaskäivitamise tingimusi, siis ei teki oht mitte tavapärase tootmise ajal, vaid just lühikeste korduvate sekkumiste käigus. Projekti seisukohast on see hetk, mil tuleb otsustada, kas probleemi lahendab õigesti projekteeritud energia katkestamise süsteem või liigub teema lukustusega blokeerimisseadiste ja möödahiilimise võimaluste piiramise valdkonda. Kui kasutuseeldused on ebaselged, ei tulene vastus intuitsioonist, vaid põhjalikust praktiliselt läbiviidud riskihindamisest, milles võetakse arvesse masina juures tegelikult tehtavaid toiminguid.

Alles selle taustal saab ISO 14118 nõudeid mõtestatult tõlgendada. Standard ei asenda riskianalüüsi ega anna üht universaalset energia katkestamise skeemi; küll aga korrastab see mõtteviisi, kuidas vältida ootamatut käivitumist ettenähtavates töö- ja sekkumisolukordades. Praktikas tuleb seda lugeda koos ISO 12100 kohase riskihindamisega ja ISO/TR 14121-2-s kasutatava lähenemisega ning juhul, kui teemaks on katted ja lukustused, ka manipuleerimise piiramise nõuetega. Sellel on tähtsus ka vastutuse seisukohalt: kui masin tarnitakse seadmekomplekti, liini või integreerimiseks ette nähtud pooliku masinana, peavad energia katkestamise funktsioonide vastutuspiirid olema kirjeldatud piisavalt täpselt, et tarnijate vahele ei tekiks lünka. Just seetõttu tuleb selles küsimuses otsused teha nüüd, mitte pärast paigaldust: „ohutu katkestamise” hiline lisamine valmis kontseptsioonile läheb peaaegu alati kallimaks kui selle korrektne määratlemine alguses.

Kus kulu või risk kõige sagedamini kasvab

Masina ootamatu käivitumise vältimise projektides ei kasva kulu harva seetõttu, et keegi on „lisanud liiga palju ohutust”. Palju sagedamini on probleem valesti sõnastatud lähteküsimuses: kas energia tuleb täielikult isoleerida, millised energiaallikad tuleb tegelikult hajutada, kes toimingu teeb ja millises seisundis peab masin pärast sekkumist jääma. Kui need eeldused on ebamäärased, kavandab meeskond näiliselt lihtsa lahenduse ning pöördub selle juurde tagasi alles vastuvõtukatsete järel, kasutaja märkuste tõttu või õnnetusstsenaariumi analüüsi tulemusel. Siis ilmnevadki kõige kallimad parandused: juhtimisarhitektuuri muutmine, pneumaatika või hüdraulika ümberehitamine, kappide täiendav varustamine, uued protseduurid ning vastutuse uuesti kokkuleppimine masina tarnija, integraatori ja lõppkasutaja vahel. Praktiline hindamiskriteerium on siin üheselt selge: kui meeskond ei suuda kirjeldada, milline masina energiaseisund on konkreetse sekkumistoimingu jaoks nõutav, siis on otsus energia isoleerimise viisi kohta veel ennatlik.

Teine kulude allikas on energia isoleerimise samastamine üksnes liikumise peatamisega. See on eriti levinud viga seal, kus esineb rohkem kui üks keskkond või salvestunud energia: jääkrõhk, detailide vajumine raskusjõu mõjul, inertsliikumine, vedrud, hüdroakud, asendit hoidvad ajamid. Sellistes süsteemides ei pruugi „väljalülitamine” tähendada ohutut seisundit inimese jaoks, kes teeb ümberseadistust, puhastust või kinnikiilumise kõrvaldamist. Projekteerimise seisukohalt on järeldus lihtne: kui isoleerimisfunktsioon ei hõlma jääkenergia hajutamist või ohutu seisundi kontrollitud säilitamist, tuleb arvestada mitte ainult paigalduse ümbertegemisega, vaid ka vastutusega valesti määratletud kasutuspiirangute eest. Praktikas tasub enne kontseptsiooni kinnitamist hinnata kolme asja: kas pärast isoleerimist jääb alles energiat, mis võib põhjustada liikumist, kas operaator saab seda kontrollida ilma kaitsepiirdeid demonteerimata ning kas toite taastamine taastab iseenesest käivitamisvõimaluse.

Tüüpiline näide puudutab pneumaatiliste ajamitega jaama, kus piisavaks lahenduseks peeti keskset sulgeventiili. Skeemil näib see korrektne, kuid kasutamisel selgub, et osa silindreid hoiab asendit tänu lokaalselt lõksu jäänud rõhule ning pärast toite uuesti sisselülitamist naaseb süsteem valmisolekusse kiiremini, kui personali tegevusjärjestus seda eeldab. Siis ei tulene kulu üksnes õhutusventiilide või mehaaniliste lukustuste lisamisest. Lisanduvad vastuvõtu peatamine, dokumentatsiooni ajakohastamine, juhtimisloogika korduskontroll ning mõnikord ka juhendite ja koolituse muutmine. Just selles punktis liigub teema lihtsast isoleeriva komponendi valikust praktilise riskihindamise vastavalt standardile ISO 12100 valdkonda: arvesse tuleb võtta tegelikke toiminguid, inimese prognoositavaid vigu ja ohtlikku tsooni sisenemise viisi. Hüdrosüsteemides lisandub veel küsimus, kas energia hajutamine ei halvenda koormuse stabiilsust; sel juhul tuleb projekteerimisotsust käsitleda koos nõuetega koormuse ohutuks juhtimiseks ja rõhu säilitamiseks süsteemis.

Alles selles etapis aitab viide standardile ISO 14118 otsuseid korrastada, kuid ei asenda neid. Standard näitab suuna: vältida ootamatut käivitumist energia nõuetekohase isoleerimise, hajutamise või kontrolli abil ning kasutada prognoositavate sekkumiste jaoks sobivaid organisatsioonilisi ja tehnilisi meetmeid. Kui aga meeskonnas käib vaidlus selle üle, kas konkreetne toiming on „hooldus seisatud masinal” või juba sekkumine, mis nõuab energia täielikku isoleerimist, siis on see märk, et tuleb naasta praktikas kasutatava ohtude tuvastamise vastavalt standardile ISO 12100 ja riskihindamise metoodika juurde, mitte otsida vastust ainult skeemist. Kui lahendus põhineb omakorda kaitse avamisel ja juurdepääsu blokeerimisel, tekib kiiresti teine probleem: kas konstruktsioon ei soodusta kaitsemeetmest möödahiilimist, sest energia isoleerimise protseduur on liiga aeglane või liiga tülikas. Siis liigub käsitlus loomulikult ka kaitsemeetmetega manipuleerimise piiramise teemasse. Projektijuhi jaoks ei ole seega peamine otsustuskriteerium mitte „millist seadet kasutada”, vaid „kas valitud isoleerimisviis tagab konkreetse toimingu ja konkreetse juurdepääsu puhul korduva ning kontrollitava ohutu seisundi”. Kui vastus ei ole üheselt selge, kasvab kulu hiljem, tavaliselt projekti vähem kontrollitavas etapis.

Kuidas teemale praktiliselt läheneda

Praktikas ei alga kaitse ootamatu käivitumise eest lahklüliti, ventiili või seiskamisprotseduuri valikust, vaid sellest, et tehakse selgeks, milliseid sekkumisi masinal tegelikult tehakse ja millises tehnilises seisundis peab masin nende ajal olema. See otsus mõjutab otseselt süsteemi arhitektuuri, dokumentatsiooni mahtu, kasutuselevõtu aega ning tootja või integraatori vastutust. Kui projektimeeskond lähtub liiga leebetest eeldustest ja käsitleb hooldustoimingut tavalise seiskunud masina teenindusena, tuleb risk tagasi vastu vastuvõtul, valideerimisel või juba pärast masina kasutusse andmist. Kui aga eeldus on põhjendamatult range, kasvavad kulud keerukamate eraldusahelate, lisaseadmete, keerulisemate järjestuste ja väiksema tehnilise saadavuse tõttu. Seetõttu peaks praktiline otsustuskriteerium olema üks: kas konkreetse toimingu jaoks on võimalik saavutada ja kinnitada ohutu seisund, mis välistab tahtmatu liikumise ning energia kontrollimatu vabanemise võimaluse.

See tähendab, et juht või toote omanik peab nõudma meeskonnalt toimingute kirjeldamist mitte masina funktsioonide, vaid juurdepääsu ja energia keeles. Tuleb teada, kes siseneb ohualasse, mida ta puudutab, milliseid kaitseid avab, millised ajamid võivad teha jääkliikumise ning kuhu jääb rõhk, gravitatsiooniline toestus või elastsetesse elementidesse salvestunud energia. Alles selle põhjal saab otsustada, kas piisab ühe keskkonna väljalülitamisest või on vaja isoleerida mitu allikat koos energia hajutamise ja uuesti sisselülitamise vältimisega. Siin liigub teema loomulikult edasi praktilise riskihindamise juurde vastavalt standardile ISO 12100: kui vaidlus käib piiri üle „sekkumiseks peatamise” ja „täielikku isoleerimist nõudva töö” vahel, siis ei ole see enam täiturseadme probleem, vaid ohu klassifitseerimise, ettenähtava kasutuse ja kasutaja ekslikult eeldatud käitumise küsimus.

Heaks näiteks on elektriajamiga ja pneumosilindritega töökoht, kuhu operaator ulatub perioodiliselt, et eemaldada kinnikiilunud materjal. Vormiliselt võib masin olla peatatud, kuid see ei tähenda veel, et sekkumine on ohutu. Kui pärast seiskamist jääb süsteemi rõhk, mis võib tööelementi liigutada, või kui automaatika võib ajami uuesti aktiveerida, siis pelgalt käsk „stop” probleemi ei lahenda. Projekteerimisotsus peab siis vastama mitte ainult küsimusele, kuidas energia välja lülitada, vaid ka sellele, kuidas kasutaja tunneb ära, et ohutu seisund on tegelikult saavutatud ja säilib. Kui nõutav protseduur on pikk, ebamugav või ebaselge, suureneb kaitsemeetmetest möödahiilimise risk ning seega tekib täiendav konstruktsiooniline probleem, mis on seotud manipuleerimisele vastuvõtlikkusega. Tavaliselt maksab see rohkem kui olukorra õige tuvastamine alguses, sest hilisemad parandused ei puuduta enam üksikut seadet, vaid juhtloogikat, kaitseid, juhendit ja valideerimist.

• kas väljalülitamine hõlmab kõiki energiaid, mis võivad põhjustada liikumist või ohu vallandumist,
• kas ohutu seisund on nähtav või muul viisil üheselt kontrollitav,
• kas uuesti sisselülitamine nõuab teadlikku tegevust ega toimu toite taastamisel iseenesest.

Alles pärast sellist korrastamist tasub minna normatiivsete viidete juurde. Kui kaitsemeede seisneb funktsiooni teostamises juhtimissüsteemi kaudu, mitte ainult energia mehaanilises isoleerimises, liigub teema ohutusfunktsioonide ja nende töökindluse nõuete valdkonda. Kui aga määravaks saab küsimus, kas konkreetne sekkumine nõuab täielikku väljalülitamist või on lubatav mõni muu kaitsemeetod, tuleb naasta metoodilise ohtude tuvastamise juurde vastavalt standardile ISO 12100. Projekteerimispraktikas ei ole need eraldi maailmad, vaid sama otsuse järjestikused kihid. ISO 14118 korrastab mõtteviisi energia eraldamise ja ootamatu käivitumise vältimise kohta, kuid ei vabasta meeskonda kohustusest tõendada, et lahendus on kavandatud toimingu jaoks sobiv, tüüpilistele möödahiilimistele vastupidav ja valideeritav ilma vastutuse „hallide aladeta”.

Millele juurutamisel tähelepanu pöörata

Kõige sagedasem viga kaitse rakendamisel ootamatu käivitumise vastu seisneb selles, et meeskond käsitleb energia väljalülitamist lihtsa seadmevalikuna, kuigi tegelikult on see otsus töökorraldusliku, hooldusliku ja projekteerimisalase vastutuse piiride kohta. Kui lahendus ei määra üheselt, kes, millal ja millises masina seisundis võib siseneda ohualasse, siis ei kõrvalda isegi tehniliselt korrektne lahutuslahendus riski täielikult. Projekti jaoks on tagajärg tavaliselt kulukas: dokumentatsiooni hilised parandused, jaotuskilpide täiendamine, muudatused juhtimisloogikas ning lõpuks vaidlus selle üle, kas tootja nägi ette õige sekkumisviisi. Praktiline hindamiskriteerium on siin lihtne: enne lahenduse heakskiitmist peab olema võimalik iga ettenähtud toimingu puhul näidata, kas väljalülitamine tõepoolest välistab liikumise tekkimise, energia vabanemise või töö taastumise ilma inimese teadliku tegevuseta.

Projekteerimisetapis on eriti ohtlikud „peaaegu piisavad” lahendused, st sellised, mis katkestavad põhitoite, kuid jätavad alles abienergia allikad, salvestunud energia või väljast põhjustatud liikumise võimaluse. Praktikas puudutab see pneumosüsteeme jääkrõhuga, piduriga hoitavaid vertikaaltelgi, inertsiga elemente, hoideahelaid ja ajameid, mis toite taastumisel naasevad automaatsesse järjestusse. Kui neid nähtusi alguses ei tuvastata, ei avaldu kulu ainult täiendavate komponentide ostmises. Suurenevad ka kasutuselevõtu ja valideerimise kulud, sest meeskond peab tõendama sellise lahenduse ohutust, mille arhitektuur ei hõlmanud algusest peale kõiki piirolekuid. Hea otsustuskriteerium ei ole siin mitte kasutatud lahutite arv, vaid nende energialiikide ja töörežiimide arv, mille puhul meeskond suudab kirjeldada teed ohutusse seisundisse ning viisi, kuidas kinnitada, et see seisund on saavutatud.

Hea näide praktilisest lõksust on hooldussekkumine, mis formaalselt ei nõua masinasse „sügavale” sisenemist, kuid eeldab kaitsekatte avamist ja ulatumist alasse, kus jääb alles abiajam või juhtimisjärjestusest tulenev liikumine. Sellistel juhtudel kandub otsus pelga energia väljalülitamise kohta kiiresti kahte naabervaldkonda. Esiteks tuleb naasta konkreetse toimingu metoodilise riskihindamise juurde vastavalt standardile ISO 12100, sest just see määrab, kas vajalik on energia täielik isoleerimine või saab tõendada samaväärset kaitsemeedet. Teiseks, kui operaatorid või hoolduspersonal hakkavad ettenähtud protseduuri regulaarselt eirama, ei ole probleem enam ainult ISO 14118 küsimus, vaid liigub kaitseseadiste manipuleerimise ja neist möödahiilimise valdkonda. Vastutuse seisukohalt on see oluline: lahendus, mis toimib ainult siis, kui kasutaja käitub tegelikus kasutuses vähetõenäolisel viisil, on nõrk mitte sellepärast, et see on „paberil” mittevastav, vaid sellepärast, et projekt ei arvestanud inimeste prognoositava käitumisega.

Just seetõttu peaks viide standardile ISO 14118 tulema lõpus kui otsuste korrastaja, mitte analüüsi asendajana. Kui võtmeküsimus on selles, kas konkreetne sekkumine nõuab kõigi energiate täielikku väljalülitamist, siis on õige edasiarendus ohtude tuvastamine vastavalt standardile ISO 12100, ning keerukamatel juhtudel ka abidokumentides kirjeldatud riskihindamise praktika. Kui aga probleemiks muutub lahenduse vastuvõtlikkus teadlikule möödahiilimisele, siis on loomulikuks täienduseks blokeerimisseadiste ja manipuleerimise vältimise valdkond. Projekteerimismeeskonna jaoks tähendab see üht: väljalülitussüsteemi puudutav otsus tuleks heaks kiita alles siis, kui seda saab korraga põhjendada tehniliselt, organisatsiooniliselt ja kasutuse seisukohalt. Vastasel juhul muutub algne kokkuhoid väga kergesti vastuvõtu viibimiseks, ümberehituse kuluks või raskesti hajutatavaks vastutuseks tootja või integraatori poolel.