Lukittavat lukituslaitteet standardin ISO 14119 mukaan – miten manipulointi estetään?

Lukituksella varustettujen lukituslaitteiden manipulointi johtuu harvoin pelkästään käyttäjän ”huonoista tavoista”. Taustalla ovat useimmiten suunnitteluratkaisut, joissa ei ole huomioitu todellista tapaa päästä vaara-alueelle, turvalliseen avaamiseen kuluvaa odotusaikaa eikä uudelleenkäynnistyksen kuormittavuutta. Siksi kysymystä SFS-EN ISO 14119 -standardin mukaisuudesta kannattaa tarkastella laajemmin: ei pelkästään sitä, miten lukituslaite valitaan, vaan myös sitä, miten suojus, pysäytyssekvenssi ja kulkulogiikka suunnitellaan niin, ettei suojauksen ohittaminen ole käyttäjälle helpoin ratkaisu.

Käytännössä tämä tarkoittaa useiden päätöksentekotasojen kytkemistä toisiinsa. Pelkkä SFS-EN ISO 14119 jäsentää lukituslaitteiden valintaa ja manipulointimahdollisuuksia rajoittavia keinoja, mutta sitä on luettava yhdessä suojuksia koskevan SFS-EN ISO 14120:n kanssa, ISO 13849:n mukaisten turvatoimintojen vaatimusten kanssa sekä silloin, kun kyse on elektronisista ohjausjärjestelmistä, myös SIL-vaatimusten näkökulmasta. Jos kyse on turva-aidasta, myös ISO 13857 on merkityksellinen. Oikeatkaan standardiviittaukset eivät kuitenkaan korvaa perustavanlaatuista suunnitteluratkaisua: voidaanko valittua koneen käyttötapaa ylläpitää ilman painetta suojalaitteiden ohittamiseen.

Miksi aihe on nyt tärkeä

Lukituksella varustetut lukituslaitteet eivät ole enää liikkuvan suojuksen yksityiskohta, joka valitaan projektin lopussa. Käytännössä ne vaikuttavat koneen arkkitehtuuriin, käyttöön, pysäytyslogiikkaan ja vaara-alueelle pääsyn järjestämiseen. Jos ne valitaan pelkästään muodollisen vaatimustenmukaisuuden perusteella eikä todellisten käyttöolosuhteiden mukaan, manipulointia alkaa nopeasti esiintyä: aktivoivan osan ohittamista, suojuksen jättämistä auki, jakson pakottamista käyntiin, vaikka kulkuaukko ei ole suljettu. Tämä ei ole sivuongelma, vaan merkki siitä, ettei suunnittelussa ole huomioitu koneen ennakoitavaa käyttötapaa.

Seuraukset ovat yleensä kalliita ja tulevat esiin myöhään, jolloin muutosten tekeminen on vaikeinta. Tuotteen omistajan ja vaatimustenmukaisuudesta vastaavan henkilön on silloin samanaikaisesti käsiteltävä loukkaantumisriskin kasvua, käytettyjen suojatoimenpiteiden kyseenalaistamista ja käyttöönoton jälkeisten korjausten tarvetta. Kalleimmat virheet syntyvät lähtöoletusten vaiheessa, kun lukitusta käsitellään yksinkertaisena luettelovalintana eikä turvatoiminnon ja kulun järjestämisen osana. Suunnittelutiimin pitäisi vastata paitsi siihen, valvotaanko suojusta, ennen kaikkea myös siihen, kuinka usein se avataan, liittyykö pysäytykseen jälkikäyntiä tai jäännösenergiaa, onko käyttäjällä käytännön motiivi lyhentää jaksoa ja voidaanko tämä motiivi poistaa ratkaisua muuttamalla.

Tämä näkyy erityisen selvästi siellä, missä käyttäjän on säännöllisesti poistettava tukoksia tai täydennettävä materiaalia. Jos suojus on lukittu täydelliseen pysähtymiseen asti, mutta lukituksen vapautumisaika ei vastaa prosessin todellista dynamiikkaa tai työn jatkamismenettely on suhteettoman hankala, suojauksen ohittaminen on ennakoitavaa. Vaikutukset projektiin ovat konkreettisia: lisämuutoksia mekaniikkaan, muutoksia turvapiiriin, korjauksia tekniseen dokumentaatioon ja joskus myös käyttö- tai hydraulijärjestelmän uudelleenrakentamista, jos ongelman lähteeksi osoittautuu itse pysäytystapa.

Vasta tätä taustaa vasten viittaus standardeihin on perusteltu. SFS-EN ISO 14119 jäsentää lukituksella varustettujen lukituslaitteiden valintaa ja manipuloinnin rajoittamiseen liittyvää lähestymistapaa, mutta se ei korvaa riskianalyysiä. Sitä on tulkittava yhdessä suojuksia koskevan SFS-EN ISO 14120:n kanssa sekä ISO 13849:n mukaisten turvatoimintojen vaatimusten kanssa, ja elektronisten ohjausjärjestelmien osalta myös SIL:n kanssa. Jos kulku toteutetaan turva-aidan kautta, myös ISO 13857 on merkityksellinen. Käytännön näkökulmasta johtopäätös on yksinkertainen: manipulointiriski on ratkaistava suunnittelu- tai modernisointivaiheessa, koska käyttöönoton jälkeen poistetaan enää virheellisten lähtöoletusten seurauksia, ei niiden syitä.

Missä kustannukset tai riski kasvavat useimmiten

Suurimmat menetykset eivät yleensä johdu itse lukitustoiminnolla varustetun lukituslaitteen käytöstä, vaan virheellisestä oletuksesta, että manipuloinnin ongelma voidaan poistaa ”vahvemmalla” lukolla tai tiukemmalla ohjauslogiikalla. Käytännössä kustannukset ja riskit kasvavat silloin, kun suojaustoimenpide haittaa normaalia työskentelyä enemmän kuin se tosiasiallisesti rajoittaa suojausten ohittamisen mahdollisuutta. Tällöin suunnittelutiimi havaitsee oireen, ei syytä: suojuksen toistuvan avaamisen, tarpeen nähdä prosessi, sykliajan lyhentämisen, asetusten korjaukset tai tukosten poistamisen. Jos tällaisia tilanteita ei tunnisteta ennen projektin päättämistä, seurauksena on tyypillinen ketju: suojuksien muutostyöt, ohjauslogiikan muuttaminen, turvallisuustoimintojen uudelleenvalidointi ja kiista siitä, johtuuko ongelma rakenteesta, integraatiosta vai käytöstä.

Toinen riskialue on mekaanisten ja automaatioon liittyvien päätösten eriyttäminen toisistaan. Kun suojuksen suunnittelija, automaatiosuunnittelija ja vaatimustenmukaisuudesta vastaava henkilö työskentelevät erillään, lukitus valitaan usein liian myöhään, vasta sen jälkeen kun oven geometria, avautumissuunta, välykset, sulkemisvoimat ja vikojen poistotapa on jo määritelty. Tällöin lukituslaitteen odotetaan kompensoivan koko konearkkitehtuurin heikkouksia. Seurauksena ovat komponenttien ylikuormitukset, kohdistusongelmat, suojuksen epävakaa asento ja asennustoleranssit, jotka käytössä alkavat suosia suojauksen ohittamista. Jos lukituksen oikea toiminta riippuu erittäin tarkasta säädöstä, ”varovaisesta” sulkemisesta tai siitä, että käyttäjä odottaa joka kerta pidempään kuin prosessi sallii, manipuloinnin riski on jo rakennettu osaksi suunnittelua.

Käytännössä tämä näkyy hyvin työpisteissä, joissa pääsy vaara-alueelle on toistuvaa mutta lyhytaikaista: asetusten vaihdon, kappaleen poiminnan, jätteen poistamisen tai asennon korjauksen yhteydessä. Jos suunnittelussa lukitus pidetään voimassa vaaran poistumiseen asti, mutta prosessin pysäytystä ei eroteta nopeasta, hallitusta käyttö- tai huoltopääsystä, käyttäjä alkaa etsiä oikoteitä. Luvaton aktivointielementti, hetkeksi vajaasti suljettu suojus, salvan tukeminen tai uudelleenkäynnistyssekvenssin ohittaminen eivät silloin ole yksittäisiä tapauksia, vaan merkki epäonnistuneesta suunnitteluratkaisusta. Tällaisissa tilanteissa koneiden ja tuotantolinjojen turvallisuusauditointi auttaa usein tunnistamaan ongelman todellisen syyn.

• Kuinka usein suojus avataan normaalin työkierron aikana.
• Kuinka kauan turvallinen avaaminen kestää pysäytyshetkestä alkaen.
• Ovatko uudelleenkäynnistyksen ehdot oikeassa suhteessa toimenpiteen luonteeseen.
• Onko käyttäjällä yksinkertainen tekninen mahdollisuus ohittaa suojaus.
• Tukeeko suojuksen geometria ja asennustapa salvan vakaata toimintaa käytön aikana.

Standardit jäsentävät näiden kysymysten arviointitapaa, mutta ne eivät tee päätöksiä suunnittelijan puolesta. SFS-EN ISO 14119 määrittelee lukituslaitteiden valinnan ja manipuloinnin rajoittamisen periaatteet, mutta sitä on tarkasteltava yhdessä SFS-EN ISO 14120:n kanssa, ja turvallisuustoiminnot on arvioitava ISO 13849:n logiikan mukaisesti sekä joissakin tapauksissa myös elektronisten ohjausjärjestelmien SIL-tason näkökulmasta. Turva-aitauksen osalta myöskään ISO 13857:ää ei voida sivuuttaa. Lopullinen kriteeri on kuitenkin käytännöllinen: onko manipulointi vielä ongelma, jota pitää rajoittaa, vai jo todiste siitä, että turvallisen pääsyn ehdot ja pysäytyssekvenssi on määritelty väärin. Tämä liittyy suoraan myös koneen vaatimustenmukaisuuden arviointiin.

Miten aihetta kannattaa lähestyä käytännössä

Kysymystä siitä, miten manipulointi estetään, ei pidä aloittaa tietyn laitteen valinnasta. Ensin on selvitettävä, missä tilanteessa käyttäjällä tai kunnossapidosta vastaavalla henkilöstöllä on todellinen motiivi ohittaa turvatoiminto. Jos pääsy vaara-alueelle on tarpeen usein, pysäytys kestää liian kauan tai suojuksen avaamisen jälkeen valmiustilaan palaaminen on kohtuuttoman hankalaa, manipuloinnista tulee ennakoitava seuraus suunnitteluratkaisusta. Johtamisen näkökulmasta tämä tarkoittaa suurempia käyttöönoton kustannuksia, enemmän muutoksia vastaanottojen jälkeen ja sitä, että valittuja ratkaisuja on vaikeampi perustella, jos syntyy poikkeama tai vaatimustenmukaisuutta koskeva kiista.

Siksi päätösten järjestyksellä on ratkaiseva merkitys. Ensin on jäsennettävä pääsyskenaariot: uudelleenasetus, jumien poistaminen, puhdistus, laadunvalvonta, diagnostiikka ja kunnossapito. Vasta sen jälkeen voidaan arvioida, onko lukituksen tarkoitus estää pääsy vaaraan, joka on edelleen olemassa pysäytyskäskyn antamisen jälkeen, vai ainoastaan pakottaa oikea työjärjestys. Näiden kahden tavoitteen yhdistäminen samaan ratkaisuun johtaa nopeasti piileviin kustannuksiin: epäselviin lukituksen vapautusehtoihin, tarpeettomiin huollon ohituksiin, ristiriitoihin automaation ja prosessitekniikan välillä sekä dokumentaatioon, jota on vaikea puolustaa johdonmukaisena.

Käytännön esimerkki on yksinkertainen. Jos suojus avataan useita kertoja vuoron aikana pienten häiriöiden poistamiseksi ja lukitus vapautuu vasta viiveen jälkeen, jonka käyttäjä kokee perusteettomaksi, ongelma ei ole työkurissa. Pelkkä kytkimen vaihtaminen korkeamman koodaustason malliin voi vaikeuttaa yksinkertaista teknistä manipulointia, mutta se ei poista sen syytä. Tällaisessa tilanteessa on palattava lähtöoletuksiin ja tarkistettava, voidaanko turvallista pysäytystä lyhentää, erottaa pääsyalueita, muuttaa resetointijärjestystä, ottaa käyttöön toimenpidetila ehtojen valvonnalla tai ratkaista jumien poistaminen muulla tavalla. Juuri nämä päätökset vähentävät painetta suojusten ohittamiseen.

Vasta tällaisen jäsentämisen jälkeen normiviittauksia voidaan soveltaa mielekkäästi. SFS-EN ISO 14119 jäsentää lukituslaitteiden valintaa, niiden asennustapaa ja keinoja rajoittaa manipuloinnin mahdollisuutta, mutta se ei korvaa arviota koneen todellisesta käyttötavasta. Sitä on tarkasteltava yhdessä SFS-EN ISO 14120:n kanssa, ja turvatoimintojen valinta ja validointi edellyttävät viittausta ISO 13849:ään; elektronisten ohjausjärjestelmien tapauksessa esiin voi tulla myös SIL. Kun pääsy koskee turva-aitausta, myös ISO 13857 on olennainen. Käytännön työn kannalta tärkein johtopäätös on tämä: ensin on poistettava motiivi ohittamiseen, ja vasta sen jälkeen vaikeutettava itse ohittamista.

Mitä käyttöönotossa on syytä huomioida

Yleisin virhe käyttöönotossa on olettaa, että lukitustoiminnolla varustettu turvakytkin ratkaisee manipuloinnin ongelman itsestään. Todellisuudessa painopiste siirtyy siihen, miten suojusta käytetään, millainen avauslukituksen logiikka on, miten rakenne on geometrialtaan toteutettu ja miten toimenpiteet on järjestetty. Jos näitä ehtoja ei ole viimeistelty, käyttäjä etsii edelleen oikoteitä, ja projekti maksaa siitä pahimmalla mahdollisella hetkellä: käyttöönoton, vastaanoton tai vasta koneen luovutuksen jälkeen käytön aikana. Tällöin esiin tulee mekaanisten korjausten ja ohjausjärjestelmän muutosten lisäksi myös vaikeuksia vaatimustenmukaisuusdokumentaation perustelemisessa, kun käy ilmi, ettei ennakoitavaa suojausten ohittamista ole tosiasiallisesti rajoitettu.

Erityistä varovaisuutta tarvitaan siellä, missä lukituksen on tarkoitus kompensoida ongelmia, joiden syy on muualla kuin itse turvakytkimessä. Jos suojusta on avattava usein, koska prosessi edellyttää säätöä, jumien poistamista tai kappaleen tilan varmistamista, pelkkä suojaustason nostaminen ei yleensä ratkaise ongelmaa. Se pikemminkin kasvattaa kustannuksia ja lisää käytön aikaisia jännitteitä. Jos pääsy vaara-alueelle on säännöllisesti tarpeen normaalin työkierron aikana, on ensin tarkistettava, ollaanko suunnittelemassa prosessia, joka itsessään houkuttelee suojausten kiertämiseen. Tällöin oikea kysymys ei ole ”mikä lukitus valitaan”, vaan ovatko pääsyn tiheys, avautumisen odotusaika ja uudelleenkäynnistyksen ehdot hyväksyttäviä todellisen käytön näkökulmasta.

Tyypillinen ongelma syntyy silloin, kun lukituksen vapautuminen riippuu liikkeen pysähtymisestä tai energian purkautumisesta, mutta avausvalmiuden signaali on epävakaa tai myöhässä suhteessa koneen käyttäytymiseen. Tällöin käyttäjä näkee suojuksen, jota ”ei saa auki”, vaikka hänen näkökulmastaan toimenpide on kiireellinen ja teknisesti yksinkertainen. Jos lisäksi turvallista häiriönpoistotilaa ei ole ennakoitu, korvaavat ratkaisut ilmestyvät nopeasti: suojus jätetään vajaasti suljetuksi, toimilaitteen asentoa pakotetaan tai aktivoivaan mekanismiin puututaan. Tämä on selvä merkki siitä, että käyttöönoton reunaehdot on tunnistettu väärin.

Käyttöönoton aikana kannattaa siksi seurata paitsi turvallisuustoiminnon muodollista oikeellisuutta myös todellisen käytön kulkua: kuinka monta pysäytystä vaaditaan ennen vaara-alueelle menoa, kuinka pitkä odotusaika liittyy avauslukituksen vapautumiseen, mistä syistä toimenpiteitä tehdään ja kuinka monta logiikkamuutosta käyttöönoton jälkeen tehdään. Jos nämä signaalit voimistuvat, suunnitelmassa on edelleen sisäänrakennettu manipulointiriski, vaikka itse turvalaite olisi valittu oikein. Tällaisessa tilanteessa SFS-EN ISO 14119 on edelleen viitekohta turvakytkimen valinnalle ja asennukselle, mutta sitä on sovellettava yhdessä SFS-EN ISO 14120:n, ISO 13849:n mukaisten turvallisuustoimintojen vaatimusten sekä soveltuvissa tapauksissa myös elektronisten ohjausjärjestelmien SIL-vaatimusten ja turvaetäisyyksiä koskevan ISO 13857:n kanssa. Käyttöönottoa voidaan pitää kypsänä vasta silloin, kun lukitus ei peitä prosessin heikkouksia vaan täydentää oikein tunnistetun riskiskenaarion.