Suojaus odottamattomalta käynnistymiseltä (ISO 14118) – energianerotuksen järjestelmien analyysi

Miksi aihe on nyt tärkeä

Suojaus odottamatonta käynnistymistä vastaan ei ole enää yksityiskohta, jonka voi jättää projektin loppuun. Käytännössä päätös siitä, miten energia katkaistaan ja puretaan sekä miten turvallinen tila varmistetaan asetusten vaihdon, puhdistuksen, tukosten poistamisen ja huoltotöiden aikana, vaikuttaa samanaikaisesti henkilöturvallisuuteen, ohjausjärjestelmän arkkitehtuuriin, koneen vastaanottotapaan sekä valmistajan tai integraattorin vastuisiin. Jos asiaa käsitellään vain ”pääkytkimen” tai pelkän käyttöliikkeen pysäyttämisen näkökulmasta, projekti päätyy yleensä takaisin muutettavaksi: tarvitaan lisäventtiilejä, lukituksia, erotuspisteitä, muutoksia ohjaussekvensseihin ja korjauksia tekniseen dokumentaatioon. Nämä eivät ole kustannusneutraaleja muutoksia. Useimmiten ne tarkoittavat käyttöönoton aikataulun siirtymistä, kiistaa toimituksen laajuudesta ja vaikeampaa perustelua valituille suojaustoimenpiteille vaatimustenmukaisuuden arvioinnissa.

Syy on yksinkertainen: odottamaton käynnistyminen johtuu harvoin yhdestä virheestä. Tavallisesti taustalla on virheellinen suunnitteluoletus, että liikkeen pysäyttäminen on sama asia kuin vaaran poistaminen. Monissa koneissa ongelmana ovat kuitenkin jäännösenergia, syötön automaattinen palautuminen, osien putoaminen painovoiman vaikutuksesta, uudelleenkäynnistys vian kuittauksen jälkeen tai useista toisistaan riippumattomista ohjauslähteistä tuleva vaikutus. Suunnittelutiimille tämä tarkoittaa, että on erotettava toisistaan kolme kysymystä, jotka käytännössä sekoitetaan usein: mitä on pysäytettävä, mitä on erotettava ja mikä on pidettävä turvallisessa tilassa koko sen ajan, kun ihminen on vaara-alueella. Juuri tässä tehdään päätökset, jotka myöhemmin määräävät sähkökeskuksen, pneumatiikan, hydrauliikan, huoltomenettelyjen ja validoinnin toteutuskustannukset.

Hyödyllisin päätöskriteeri tässä vaiheessa on seuraava: onko vaara-alueelle menon jälkeen olemassa mitään reittiä, jonka kautta vaarallinen liike voi syntyä ilman henkilön tietoista toimintaa ja hänen hallintansa ulkopuolella. Jos vastaus ei ole yksiselitteisesti kielteinen, pelkkä toiminnallinen pysäytys ei riitä, vaan on analysoitava energian katkaisu ja suojaus sen tahatonta palautumista vastaan. Tätä kannattaa arvioida ei julistusten vaan hankkeen havaittavien tunnusmerkkien perusteella: kuinka monta energialähdettä on erotettava, kuinka paljon aikaa turvallisen tilan saavuttaminen vaatii, miten energian poistuminen varmistetaan, kuinka monta käyttäjän toimenpidettä tehdään tuotantotilan ulkopuolella sekä kuinka monta kohtaa on, joissa henkilöstöllä on houkutus ”kiertää” suojaus, koska oikea menettely on liian hidas tai hankala. Tämä liittyy jo luontevasti suojausten manipulointiin ja ohituksiin, koska huonosti valittu energian katkaisu ei useinkaan poista ongelmaa, vaan siirtää sen päivittäiseen käyttöön.

Hyvä esimerkki on työasema, jossa on avattava suoja. Suojan avaamisen jälkeen käyttö pysäytetään, mutta pystysylinteri jää paineelliseksi ja järjestelmä palaa suojan sulkemisen jälkeen automaattiseen sykliin. Muodollisesti käyttäjän ”ei pitäisi” mennä syvemmälle vaara-alueelle, mutta todellisuudessa hän poistaa kappaleen, puhdistaa anturin tai korjaa tarttujan asentoa. Jos tällaisessa tilanteessa ei ole suunniteltu energian hallittua katkaisua ja purkua eikä uudelleenkäynnistyksen ehtoja, vaara ei synny normaalin tuotannon aikana vaan juuri lyhyissä, toistuvissa toimenpiteissä. Suunnittelun näkökulmasta tässä on ratkaistava, hoidetaanko ongelma oikein suunnitellulla energian katkaisujärjestelmällä vai siirtyykö asia lukitustoiminnolla varustettujen lukituslaitteiden ja ohitusmahdollisuuksien rajoittamisen alueelle. Jos käyttöoletukset ovat epäselviä, vastaus ei perustu intuitioon vaan huolelliseen riskinarviointiin, joka tehdään käytännönläheisesti ja todelliset koneella tehtävät toimenpiteet huomioon ottaen.

Vasta tätä taustaa vasten ISO 14118:n vaatimukset on mielekästä tulkita. Standardi ei korvaa riskianalyysiä eikä tarjoa yhtä yleispätevää energian katkaisun mallia, vaan jäsentää ajattelutapaa odottamattoman käynnistymisen estämiseksi ennakoitavissa käyttötiloissa ja toimenpiteissä. Käytännössä sitä on luettava yhdessä ISO 12100:n mukaisen riskinarvioinnin kanssa, käyttäen ISO/TR 14121-2:ssa sovellettua lähestymistapaa, ja silloin kun esiin nousevat suojukset ja lukitukset, myös manipuloinnin rajoittamista koskevien vaatimusten kanssa. Tällä on merkitystä myös vastuiden kannalta: jos kone toimitetaan kokonaisuutena, linjana tai integroitavaksi tarkoitettuna osittain valmiina koneena, energian katkaisutoimintoihin liittyvät vastuurajat on kuvattava niin täsmällisesti, ettei toimittajien väliin synny aukkoa. Siksi tästä asiasta on päätettävä nyt eikä vasta asennuksen jälkeen: ”turvallisen energian katkaisun” lisääminen valmiiseen konseptiin jälkikäteen maksaa lähes aina enemmän kuin sen oikea määrittely alussa.

Missä kustannus tai riski kasvaa useimmiten

Koneen suojaamista odottamattomalta käynnistymiseltä koskevissa projekteissa kustannukset kasvavat harvoin siksi, että turvallisuutta olisi ”lisätty liikaa”. Paljon useammin ongelma johtuu siitä, että alussa on esitetty väärä kysymys: pitääkö energia katkaista, mitkä energialähteet on todella purettava, kuka toimenpiteen tekee ja mihin tilaan koneen on jäätävä toimenpiteen jälkeen. Jos nämä lähtöoletukset jäävät epämääräisiksi, tiimi suunnittelee näennäisesti yksinkertaisen ratkaisun ja palaa siihen myöhemmin vastaanottotestien jälkeen, käyttäjän huomautusten vuoksi tai tapaturmaskenaarion analyysin perusteella. Silloin syntyvät kalleimmat korjaukset: ohjausarkkitehtuurin muuttaminen, pneumatiikan tai hydrauliikan uudelleenrakentaminen, keskusten lisävarustelu, uudet menettelyt sekä vastuiden uudelleensovittaminen koneen toimittajan, integraattorin ja loppukäyttäjän välillä. Käytännön arviointikriteeri on tässä yksiselitteinen: jos tiimi ei pysty kuvaamaan, millaista koneen energiatilaa tietty toimenpide edellyttää, päätös energian katkaisun tavasta on vielä ennenaikainen.

Toinen kustannusten lähde on energian katkaisun samaistaminen pelkkään liikkeen pysäyttämiseen. Tämä virhe on erityisen yleinen siellä, missä on useampi kuin yksi väliaine tai varastoitunutta energiaa: jäännöspaine, osien putoaminen painovoiman vaikutuksesta, hitausliike, jouset, hydrauliset akut, asentoa ylläpitävät käyttölaitteet. Tällaisissa järjestelmissä ”pois päältä” ei välttämättä tarkoita turvallista tilaa henkilölle, joka tekee asetusten vaihtoa, puhdistusta tai tukoksen poistoa. Suunnittelun kannalta seuraus on selvä: jos katkaisutoiminto ei sisällä jäännösenergian purkamista tai turvallisen tilan hallittua ylläpitoa, on varauduttava paitsi asennuksen muutostöihin myös vastuuseen käyttörajoitusten virheellisestä määrittelystä. Käytännössä ennen konseptin hyväksymistä kannattaa arvioida kolme asiaa: jääkö katkaisun jälkeen energiaa, joka voi aiheuttaa liikettä, voiko käyttäjä varmistaa tämän ilman suojien purkamista sekä palauttaako syötön kytkeminen itsestään käynnistysmahdollisuuden.

Tyypillinen esimerkki on asema, jossa on pneumaattisia käyttölaitteita ja jossa keskitetty sulkuventtiili on katsottu riittäväksi ratkaisuksi. Kaaviossa tämä näyttää oikealta, mutta käytön aikana käy ilmi, että osa sylintereistä pitää asentonsa paikallisesti loukkuun jääneen paineen avulla ja että syötön palauttamisen jälkeen järjestelmä palaa valmiustilaan nopeammin kuin henkilöstön työvaihejärjestys edellyttää. Tällöin kustannus ei johdu pelkästään ilmausventtiilien tai mekaanisten lukitusten lisäämisestä. Mukaan tulevat myös vastaanoton viivästyminen, dokumentaation päivittäminen, ohjauslogiikan uudelleentarkastus ja joskus myös ohjeiden sekä koulutuksen muuttaminen. Juuri tässä vaiheessa aihe siirtyy yksinkertaisesta katkaisulaitteen valinnasta käytännön riskin arvioinnin ISO 12100:n mukaisesti alueelle: on tarkasteltava todellisia työtehtäviä, ennakoitavia inhimillisiä virheitä ja vaaravyöhykkeelle pääsyn tapaa. Hydraulijärjestelmissä mukaan tulee lisäksi kysymys siitä, heikentääkö energian purkaminen kuorman vakautta; silloin suunnittelupäätöstä on tarkasteltava yhdessä järjestelmän turvallista ohjausta ja paineen ylläpitoa koskevien vaatimusten kanssa.

Vasta tässä vaiheessa viittaus standardiin ISO 14118 jäsentää päätöksentekoa, mutta ei korvaa sitä. Standardi osoittaa suunnan: odottamaton käynnistyminen on estettävä energian asianmukaisella katkaisulla, purkamisella tai hallinnalla sekä ennakoituihin toimenpiteisiin nähden riittävillä organisatorisilla ja teknisillä keinoilla. Jos tiimissä kuitenkin kiistellään siitä, onko tietty toimenpide ”pysäytetyn koneen huoltoa” vai jo toimenpide, joka edellyttää energian täydellistä erottamista, se on merkki siitä, että on palattava käytännössä sovellettavaan riskinarviointimenetelmään eikä etsittävä vastausta pelkästä kaaviosta. Jos taas ratkaisu perustuu suojuksen avaamiseen ja pääsyn estoon, esiin nousee nopeasti toinen ongelma: houkutteleeko rakenne suojausten ohittamiseen, koska energian katkaisumenettely on liian hidas tai liian hankala. Tällöin aihe liittyy luontevasti myös suojausten manipuloinnin rajoittamiseen. Projektipäällikölle tärkein päätöskriteeri ei siis ole ”mitä laitetta käytetään”, vaan ”tuottaako valittu katkaisutapa toistettavan ja todennettavan turvallisen tilan tiettyä työtehtävää ja tiettyä pääsyä varten”. Jos vastaus ei ole yksiselitteinen, kustannukset kasvavat myöhemmin, yleensä projektin kannalta huonommin hallittavassa vaiheessa.

Miten aihetta kannattaa lähestyä käytännössä

Käytännössä suojaus odottamatonta käynnistymistä vastaan ei ala erotinkytkimen, venttiilin tai pysäytysmenettelyn valinnasta, vaan siitä, että ensin jäsennetään päätös siitä, mitä toimenpiteitä koneella todella tehdään ja missä teknisessä tilassa koneen on niiden aikana oltava. Tällä ratkaisulla on suora vaikutus järjestelmän arkkitehtuuriin, dokumentaation laajuuteen, käyttöönottoaikaan sekä valmistajan tai integraattorin vastuisiin. Jos suunnittelutiimi tekee liian lievän oletuksen ja käsittelee huoltotoimenpiteen tavallisena pysäytetyn koneen käyttötoimena, riski palaa esiin vastaanotossa, validoinnissa tai vasta sen jälkeen, kun kone on luovutettu käyttöön. Jos taas oletus on liian rajoittava, kustannukset kasvavat erotusjärjestelmien laajentamisen, lisälaitteiden, monimutkaisempien sekvenssien ja teknisen käytettävyyden heikkenemisen vuoksi. Siksi käytännöllisen päätöskriteerin pitäisi olla yksi: voidaanko tiettyä toimenpidettä varten saavuttaa ja todentaa turvallinen tila, joka poistaa tahattoman liikkeen mahdollisuuden sekä energian hallitsemattoman vapautumisen.

Tämä tarkoittaa, että managerin tai tuotteen omistajan tulisi edellyttää tiimiltä toimenpiteiden kuvaamista ei koneen toimintojen vaan pääsyn ja energian näkökulmasta. On tiedettävä, kuka menee vaara-alueelle, mihin kosketaan, mitä suojuksia avataan, mitkä käyttölaitteet voivat tehdä jälkiliikkeen ja missä jää painetta, painovoiman varassa olevaa kuormaa tai elastisiin osiin varastoitunutta energiaa. Vasta tämän perusteella voidaan ratkaista, riittääkö yhden energiamuodon katkaisu vai tarvitaanko useiden lähteiden erottaminen yhdessä energian purkamisen ja uudelleenkytkennän estämisen kanssa. Tässä kohtaa aihe siirtyy luontevasti käytännön riskinarviointiin ISO 12100:n mukaisesti: jos kiista koskee rajaa ”toimenpidettä varten tehtävän pysäytyksen” ja ”täyttä eristystä vaativan työn” välillä, kyse ei enää ole toimilaitteen ongelmasta vaan vaaran luokittelusta, ennakoitavasta käytöstä ja käyttäjän virheellisesti oletetusta toiminnasta.

Hyvä esimerkki on työasema, jossa on sähkökäyttö ja pneumaattisia sylintereitä ja johon käyttäjä ulottuu ajoittain poistaakseen materiaalitukoksen. Muodollisesti kone voi olla pysäytetty, mutta se ei vielä ratkaise toimenpiteen turvallisuutta. Jos pysäytyksen jälkeen järjestelmään jää painetta, joka voi liikuttaa työelintä, tai käyttö voi aktivoitua uudelleen automaation kautta, pelkkä ”stop”-komento ei ratkaise ongelmaa. Suunnitteluratkaisun pitäisi silloin vastata paitsi kysymykseen siitä, miten energia katkaistaan, myös siihen, miten käyttäjä tunnistaa, että turvallinen tila on todella saavutettu ja säilyy. Jos vaadittu menettely on pitkä, hankala tai epäselvä, suojausten ohittamisen riski kasvaa, jolloin syntyy lisäsuunnitteluongelma, joka liittyy alttiuteen manipuloinnille. Tämä maksaa yleensä enemmän kuin tilanteen oikea tunnistaminen alussa, koska myöhemmät korjaukset eivät enää koske yksittäistä laitetta vaan ohjauslogiikkaa, suojuksia, ohjetta ja validointia.

• kattavatko erotustoimenpiteet kaikki energiat, jotka voivat aiheuttaa liikkeen tai vaaran vapautumisen,
• onko turvallinen tila näkyvissä tai muuten yksiselitteisesti todennettavissa,
• edellyttääkö uudelleenkytkentä tietoista toimintaa eikä tapahduko se itsestään syötön palautuessa.

Vasta tällaisen jäsentelyn jälkeen kannattaa siirtyä normatiivisiin viittauksiin. Kun suojatoimenpide perustuu toiminnon toteuttamiseen ohjausjärjestelmän kautta eikä yksinomaan energian mekaaniseen erottamiseen, asia siirtyy turvallisuustoimintojen ja niiden luotettavuuden vaatimusten alueelle. Kun taas keskeiseksi tulee ratkaista, edellyttääkö tietty toimenpide täydellistä erotusta vai onko jokin muu suojausmenetelmä sallittu, on palattava menetelmälliseen vaarojen tunnistamiseen standardin ISO 12100 mukaisesti. Käytännön suunnittelussa nämä eivät ole erillisiä maailmoja vaan saman päätöksen peräkkäisiä kerroksia. ISO 14118 jäsentää ajattelutapaa energian erottamisesta ja odottamattoman käynnistymisen estämisestä, mutta se ei vapauta tiimiä osoittamasta, että ratkaisu on ennakoituun toimenpiteeseen nähden riittävä, kestää tyypilliset ohitustavat ja on validoitavissa ilman, että vastuisiin jää ”harmaita alueita”.

Mitä käyttöönotossa on syytä varoa

Yleisin virhe odottamattoman käynnistymisen eston toteutuksessa on se, että tiimi käsittelee energian katkaisua pelkkänä laitevalintana, vaikka todellisuudessa kyse on päätöksestä, joka määrittää käytön, kunnossapidon ja suunnittelun vastuurajat. Jos ratkaisussa ei yksiselitteisesti määritellä, kuka, milloin ja missä koneen tilassa saa mennä vaara-alueelle, teknisesti oikein toteutettu erotusjärjestelmäkään ei poista riskiä. Hankkeelle seuraukset ovat yleensä kalliita: dokumentaation myöhäiset korjaukset, keskusten lisävarustelu, ohjauslogiikan muutokset ja lopulta kiista siitä, onko valmistaja ennakoinut oikean toimintatavan puuttumistilanteissa. Käytännöllinen arviointikriteeri on tässä yksinkertainen: ennen ratkaisun hyväksymistä on pystyttävä osoittamaan jokaisen ennakoidun toimenpiteen osalta, poistaako energian katkaisu todella liikkeen syntymisen, energian vapautumisen tai toiminnan palautumisen mahdollisuuden ilman ihmisen tietoista toimintaa.

Suunnitteluvaiheessa erityisen vaarallisia ovat ”melkein riittävät” ratkaisut, eli sellaiset, jotka katkaisevat pääsyötön mutta jättävät jäljelle apuenergian lähteitä, varastoitunutta energiaa tai ulkoisesti aiheutuvan liikkeen mahdollisuuden. Käytännössä tämä koskee paineilmajärjestelmiä, joissa on jäännöspainetta, pystyakselistoja, joita pidetään paikallaan jarrulla, hitausmassaa sisältäviä osia, pitopiirejä sekä käyttöjä, jotka palaavat automaattiseen sekvenssiin syötön palautuessa. Jos näitä ilmiöitä ei tunnisteta alussa, kustannukset eivät rajoitu vain lisäkomponenttien hankintaan. Myös käyttöönoton ja validoinnin kustannukset kasvavat, koska tiimin on osoitettava turvallisuus ratkaisulle, jonka arkkitehtuuri ei alun perin kattanut kaikkia rajatiloja. Hyvä päätöksenteon mittari ei tässä ole käytettyjen erotuslaitteiden määrä, vaan niiden energiamuotojen ja käyttötilojen määrä, joille tiimi pystyy kuvaamaan tien turvalliseen tilaan sekä tavan varmistaa, että tämä tila on saavutettu.

Hyvä esimerkki käytännön sudenkuopasta on huoltotoimenpide, joka ei muodollisesti edellytä menemistä ”syvälle” koneeseen, mutta pakottaa avaamaan suojuksen ja ulottumaan alueelle, jossa apukäyttö tai ohjaussekvenssistä johtuva liike on edelleen mahdollinen. Tällaisissa tapauksissa päätös pelkästä energian katkaisusta siirtyy nopeasti kahdelle viereiselle alueelle. Ensinnäkin on palattava kyseistä toimenpidettä koskevaan menetelmälliseen riskin arviointiin ISO 12100:n mukaisesti, koska juuri se ratkaisee, onko kaikkien energioiden täydellinen erottaminen välttämätöntä vai voidaanko osoittaa vastaava suojatoimenpide. Toiseksi, jos käyttäjät tai kunnossapito kiertävät säännöllisesti ennakoidun menettelyn, ongelma ei enää ole pelkästään ISO 14118:n kysymys, vaan se siirtyy suojalaitteiden manipuloinnin ja ohitusten alueelle. Tämä on tärkeää vastuun näkökulmasta: ratkaisu, joka toimii vain silloin, kun käyttäjä toimii tavalla, joka on todellisessa käytössä epätodennäköinen, on heikko ei siksi, että se olisi ”paperilla” vaatimustenvastainen, vaan siksi, että suunnittelussa ei ole otettu huomioon ihmisten ennakoitavaa käyttäytymistä.

Juuri siksi viittauksen ISO 14118:aan tulisi tulla vasta lopussa päätösten jäsentämiseksi, ei analyysin korvikkeena. Jos keskeinen kysymys on, edellyttääkö tietty toimenpide kaikkien energioiden täydellistä katkaisua, oikea jatko on riskin arviointi standardin ISO 12100 mukaan ja monimutkaisemmissa tapauksissa myös apuasiakirjoissa kuvattu riskin estimoinnin käytäntö. Jos taas ongelmaksi muodostuu ratkaisun alttius tietoiselle ohittamiselle, luonteva täydennys on lukituslaitteiden ja manipuloinnin estämisen alue. Suunnittelutiimille tämä tarkoittaa yhtä asiaa: päätös erotusjärjestelmästä tulisi hyväksyä vasta silloin, kun se voidaan perustella samanaikaisesti teknisesti, organisatorisesti ja käytön kannalta. Muussa tapauksessa alussa saavutettu säästö muuttuu hyvin helposti vastaanoton viivästymiseksi, muutostöiden kustannuksiksi tai vastuuksi, jota on vaikea rajata valmistajan tai integraattorin puolella.