Zaštita od neočekivanog pokretanja (ISO 14118) – analiza sustava za isključenje energije

Zašto je ova tema danas važna

Zaštita od neočekivanog pokretanja danas više nije izvedbeni detalj koji se može ostaviti za kraj projekta. U praksi odluka o tome kako isključiti i rasteretiti energiju te kako potvrditi sigurno stanje tijekom preinaka, čišćenja, uklanjanja zastoja i servisnih radova istodobno utječe na sigurnost ljudi, arhitekturu upravljačkog sustava, način preuzimanja stroja i odgovornost proizvođača ili integratora. Ako se toj temi pristupi isključivo kao pitanju „glavnog prekidača” ili samog zaustavljanja pogona, projekt se obično vraća na doradu: pojavljuje se potreba za dodatnim ventilima, blokadama, točkama izolacije, izmjenama upravljačkih sekvenci i korekcijama tehničke dokumentacije. To nisu izmjene bez utjecaja na trošak. Najčešće znače pomicanje roka puštanja u rad, spor oko opsega isporuke i teže obrazlaganje primijenjenih zaštitnih mjera tijekom ocjene sukladnosti.

Razlog je jednostavan: neočekivano pokretanje rijetko je posljedica jedne pogreške. Najčešće proizlazi iz pogrešne projektne pretpostavke da je zaustavljanje gibanja jednako uklanjanju opasnosti. U međuvremenu, kod mnogih strojeva problem ostaju zaostala energija, samostalan povrat napajanja, spuštanje elemenata pod djelovanjem gravitacije, ponovno pokretanje nakon resetiranja greške ili zahvat iz nekoliko neovisnih izvora upravljanja. Za projektni tim to znači da mora razdvojiti tri pitanja koja se u praksi često miješaju: što treba zaustaviti, što treba izolirati i što treba održati u sigurnom stanju tijekom cijelog vremena dok je čovjek u opasnoj zoni. Upravo se ovdje donose odluke koje kasnije određuju trošak izvedbe ormara, pneumatike, hidraulike, servisnih postupaka i validacije.

Najkorisniji kriterij za donošenje odluke u ovoj fazi glasi: postoji li nakon ulaska čovjeka u opasnu zonu bilo kakav put kojim može nastati opasno gibanje bez njegova svjesnog djelovanja i izvan njegove kontrole. Ako odgovor nije jednoznačno niječan, samo funkcionalno zaustavljanje nije dovoljno i treba analizirati isključenje energije te zaštitu od njezina nenamjernog ponovnog uspostavljanja. To vrijedi procjenjivati ne deklarativno, nego prema vidljivim pokazateljima projekta: broju izvora energije koje treba izolirati, vremenu potrebnom za postizanje sigurnog stanja, načinu potvrde nestanka energije, broju operaterskih intervencija koje se izvode izvan proizvodnog režima te broju mjesta na kojima osoblje ima iskušenje „zaobići” zaštitu jer je ispravan postupak prespor ili previše opterećujući. Ovo posljednje već je prirodna dodirna točka s pitanjem manipulacije zaštitama i zaobilaženja, jer loše odabrano isključenje energije vrlo često ne uklanja problem, nego ga premješta u svakodnevni rad.

Dobar primjer je radna stanica s pomičnom zaštitom, u kojoj se nakon otvaranja zaštite pogon zaustavlja, ali okomiti cilindar ostaje pod tlakom, a sustav se nakon zatvaranja zaštite vraća u automatski ciklus. Formalno, operater „ne bi smio” ulaziti dublje u zonu, ali će u stvarnosti uklanjati komad, čistiti senzor ili korigirati položaj hvataljke. Ako u takvom scenariju nisu predviđeni kontrolirano isključenje i rasterećenje energije te uvjeti ponovnog pokretanja, opasnost se ne pojavljuje tijekom normalne proizvodnje, nego upravo tijekom kratkih, ponavljajućih intervencija. S gledišta projekta to je trenutak u kojem treba odlučiti rješava li problem pravilno projektiran sustav isključenja energije ili se tema premješta u područje uređaja za blokiranje sa zaključavanjem i ograničavanja mogućnosti zaobilaženja. Ako su pretpostavke uporabe nejasne, odgovor ne proizlazi iz intuicije, nego iz pouzdane procjene rizika provedene na praktičan način, uz uvažavanje stvarnih radnji koje se izvode na stroju.

Tek se u tom kontekstu zahtjevi norme ISO 14118 mogu tumačiti smisleno. Ta norma ne zamjenjuje analizu rizika i ne daje jednu univerzalnu shemu isključenja energije; ona, međutim, uređuje način razmišljanja o sprječavanju neočekivanog pokretanja u predvidivim radnim stanjima i tijekom intervencija. U praksi je treba čitati zajedno s procjenom rizika koja se provodi u skladu s pristupom primijenjenim u ISO/TR 14121-2 te, kada se pojavi tema zaštita i blokada, sa zahtjevima koji se odnose na ograničavanje manipulacije. To je važno i s aspekta odgovornosti: ako se stroj isporučuje kao sklop, linija ili djelomično dovršen stroj predviđen za integraciju, granice odgovornosti za funkcije isključenja energije moraju biti opisane dovoljno precizno da ne nastane praznina između dobavljača. Upravo zato ova tema traži odluke sada, a ne nakon montaže: naknadno dopisivanje „sigurnog isključenja” u već gotov koncept gotovo uvijek košta više nego njegovo ispravno definiranje na početku.

Gdje najčešće rastu trošak ili rizik

U projektima koji se odnose na zaštitu od neočekivanog pokretanja trošak rijetko raste zato što je netko „dodao previše sigurnosti”. Mnogo češće problem nastaje zbog pogrešno postavljenog pitanja na početku: treba li isključiti energiju, koje izvore energije doista treba rasteretiti, tko izvodi radnju i u kakvom stanju stroj mora ostati nakon intervencije. Ako te pretpostavke nisu dovoljno jasno definirane, tim projektira rješenje koje naizgled djeluje jednostavno, a zatim mu se vraća nakon ispitivanja pri preuzimanju, nakon primjedbi korisnika ili nakon analize scenarija nesreće. Tada se pojavljuju najskuplje korekcije: promjena arhitekture upravljanja, preinaka pneumatike ili hidraulike, dodatno opremanje ormara, nove procedure i ponovno usklađivanje odgovornosti između dobavljača stroja, integratora i krajnjeg korisnika. Praktični kriterij procjene ovdje je jasan: ako tim ne može opisati koje je energetsko stanje stroja potrebno za konkretnu intervencijsku radnju, odluka o načinu isključivanja energije još je preuranjena.

Drugi izvor troška jest poistovjećivanje isključivanja energije sa samim zaustavljanjem gibanja. To je pogreška osobito česta tamo gdje postoji više od jednog medija ili pohranjena energija: preostali tlak, spuštanje elemenata pod djelovanjem gravitacije, inercijsko gibanje, opruge, hidraulički akumulatori, pogoni koji održavaju položaj. U takvim sustavima „isključivanje” ne mora značiti stanje sigurno za osobu koja obavlja preinaku, čišćenje ili uklanjanje zaglavljenja. Projektna posljedica je jednostavna: ako funkcija isključivanja ne obuhvaća rasterećenje preostale energije ili kontrolirano održavanje sigurnog stanja, treba računati ne samo na preinaku instalacije nego i na odgovornost za pogrešno definirana ograničenja uporabe. U praksi prije odobrenja koncepta vrijedi procijeniti tri stvari: ostaje li nakon isključivanja energija koja može izazvati gibanje, može li operater to provjeriti bez demontaže zaštita te vraća li ponovno uspostavljanje napajanja samo od sebe mogućnost pokretanja.

Tipičan primjer odnosi se na stanicu s pneumatskim pogonima, u kojoj je središnji zaporni ventil prihvaćen kao dovoljno rješenje. Na shemi to izgleda ispravno, ali tijekom rada pokazuje se da dio cilindara zadržava položaj zahvaljujući lokalno zarobljenom tlaku, a nakon ponovne uspostave napajanja sustav se vraća u stanje pripravnosti brže nego što to predviđa slijed radnji osoblja. Tada trošak ne proizlazi samo iz dodavanja odzračnih ventila ili mehaničkih blokada. Dolaze i zastoj preuzimanja, ažuriranje dokumentacije, ponovna provjera logike upravljanja, a ponekad i izmjena uputa i osposobljavanja. Upravo je to trenutak u kojem tema prelazi iz jednostavnog odabira elementa za isključivanje u područje praktične procjene rizika prema ISO 12100: potrebno je uzeti u obzir stvarne radnje, predvidive ljudske pogreške i način pristupa opasnoj zoni. U hidrauličkim sustavima dodatno se postavlja pitanje pogoršava li rasterećenje energije stabilnost opterećenja; tada se projektna odluka mora promatrati zajedno sa zahtjevima za sigurno vođenje i održavanje tlaka u sustavu.

Tek u toj fazi pozivanje na ISO 14118 unosi red u odluku, ali je ne zamjenjuje. Norma pokazuje smjer: spriječiti neočekivano pokretanje pravilnim isključivanjem, rasterećenjem ili kontrolom energije te organizacijskim i tehničkim mjerama primjerenima predvidivim intervencijama. Ako se, međutim, spor u timu vodi oko toga je li određena radnja „rad na zaustavljenom stroju” ili je već riječ o zahvatu koji zahtijeva potpuno odvajanje energije, to je signal da se treba vratiti metodologiji identifikacije opasnosti prema ISO 12100 i procjene rizika koja se primjenjuje u praksi, a ne tražiti odgovor samo u shemi. S druge strane, kada se rješenje temelji na otvaranju zaštite i blokadi pristupa, brzo se pojavljuje drugi problem: potiče li konstrukcija zaobilaženje zaštite zato što je postupak isključivanja prespor ili previše opterećujući. Tada se tema prirodno proširuje i na ograničavanje manipulacije zaštitnim uređajima. Za voditelja projekta najvažniji kriterij za donošenje odluke zato ne glasi „koji uređaj primijeniti”, nego „daje li odabrani način isključivanja ponovljivo i provjerljivo sigurno stanje za konkretnu radnju i konkretan pristup”. Ako odgovor nije jednoznačan, trošak će porasti kasnije, obično u manje kontroliranom trenutku projekta.

Kako praktično pristupiti temi

U praksi pitanje zaštite od neočekivanog pokretanja ne počinje od odabira rastavljača, ventila ili postupka zaustavljanja, nego od jasnog definiranja koje će se intervencije stvarno provoditi na stroju i u kakvom se tehničkom stanju on tada mora nalaziti. Ta odluka izravno utječe na arhitekturu sustava, opseg dokumentacije, vrijeme puštanja u rad i odgovornost proizvođača ili integratora. Ako projektni tim postavi preblage pretpostavke i servisni zahvat tretira kao uobičajenu radnju pri zaustavljenom stroju, rizik će se ponovno pojaviti pri preuzimanju, validaciji ili tek nakon predaje stroja u uporabu. Ako je, pak, pretpostavka pretjerano restriktivna, trošak će porasti zbog složenijih sustava isključenja, dodatnih uređaja, veće složenosti sekvenci i smanjene tehničke raspoloživosti. Zato bi praktični kriterij odluke trebao biti samo jedan: može li se za konkretnu radnju postići i potvrditi sigurno stanje koje uklanja mogućnost nenamjernog gibanja i nekontroliranog oslobađanja energije.

To znači da menadžer ili vlasnik proizvoda treba od tima zahtijevati opis radnji ne jezikom funkcija stroja, nego jezikom pristupa i energije. Treba znati tko ulazi u zonu, što dodiruje, koje štitnike otvara, koji pogoni mogu izvesti zaostalo gibanje, gdje ostaje tlak, gravitacijsko oslanjanje ili energija pohranjena u elastičnim elementima. Tek se na toj osnovi može odlučiti je li dovoljno isključiti jedan medij ili je potrebno izolirati više izvora zajedno s rasipanjem energije i zaštitom od ponovnog uključenja. U tom trenutku tema prirodno prelazi u praktičnu ocjenu rizika prema ISO 12100: ako se spor vodi oko granice između „zaustavljanja radi intervencije” i „rada koji zahtijeva potpunu izolaciju”, tada to više nije problem izvršnog uređaja, nego klasifikacije opasnosti, predvidive uporabe i pogrešno pretpostavljenog ponašanja korisnika.

Dobar primjer je radno mjesto s električnim pogonom i pneumatskim cilindrima, u koje operater povremeno poseže kako bi uklonio zaglavljeni materijal. Formalno, stroj može biti zaustavljen, ali to još ne znači da je intervencija sigurna. Ako nakon zaustavljanja ostane tlak koji može pomaknuti radni element ili se pogon može ponovno aktivirati putem automatike, sama naredba „stop” ne rješava problem. Projektna odluka tada treba odgovoriti ne samo na pitanje kako isključiti energiju, nego i kako će korisnik prepoznati da je sigurno stanje doista postignuto i održano. Ako je potrebni postupak dug, nepraktičan ili nejasan, raste rizik zaobilaženja zaštita, pa se pojavljuje dodatni konstrukcijski problem povezan s podložnošću manipulaciji. To obično stoji više nego pravilno prepoznavanje situacije na početku, jer kasnije izmjene više ne obuhvaćaju samo pojedini uređaj, nego i logiku upravljanja, štitnike, upute i validaciju.

• obuhvaća li isključenje sve energije koje mogu izazvati gibanje ili oslobađanje opasnosti,
• je li sigurno stanje vidljivo ili se na drugi način može jednoznačno provjeriti,
• zahtijeva li ponovno uključenje svjesnu radnju i neće li nastupiti samo od sebe nakon uspostave napajanja.

Tek nakon takvog uređenja ima smisla prijeći na normativne reference. Kada se zaštitna mjera temelji na ostvarivanju funkcije putem upravljačkog sustava, a ne isključivo mehaničkom izolacijom energije, pitanje ulazi u područje zahtjeva za sigurnosne funkcije i njihovu pouzdanost. Kada pak postane ključno odlučiti zahtijeva li određena intervencija potpuno isključenje ili je dopuštena druga metoda zaštite, potrebno je vratiti se na metodičku identifikaciju opasnosti prema normi ISO 12100. U projektnoj praksi to nisu odvojeni svjetovi, nego uzastopni slojevi iste odluke. ISO 14118 uređuje način razmišljanja o isključenju i sprječavanju neočekivanog pokretanja, ali ne oslobađa tim obveze da pokaže kako je rješenje primjereno predviđenoj radnji, otporno na tipična zaobilaženja i da se može validirati bez ostavljanja „sivih zona” odgovornosti.

Na što paziti pri provedbi

Najčešća pogreška pri uvođenju zaštite od neočekivanog pokretanja jest to što tim isključenje energije promatra kao jednostavan odabir uređaja, iako je u stvarnosti riječ o odluci o granicama operativne, održavateljske i projektantske odgovornosti. Ako rješenje ne određuje jednoznačno tko, kada i u kojem stanju stroja smije ući u opasnu zonu, tada ni tehnički ispravno izveden sustav isključenja ne uklanja rizik. Posljedice za projekt obično su skupe: kasne izmjene dokumentacije, dodatno opremanje razvodnih ormara, promjene u logici upravljanja, a na kraju i spor oko toga je li proizvođač predvidio ispravan način intervencije. Praktičan kriterij procjene ovdje je jednostavan: prije odobrenja rješenja mora se moći dokazati za svaku predviđenu radnju uklanja li isključenje doista mogućnost nastanka gibanja, oslobađanja energije ili ponovne uspostave rada bez svjesnog djelovanja čovjeka.

U fazi projektiranja osobito su opasna rješenja koja su „gotovo dovoljna”, odnosno ona koja isključuju glavno napajanje, ali ostavljaju izvore pomoćne energije, pohranjenu energiju ili mogućnost gibanja izazvanog izvana. U praksi se to odnosi na pneumatske sustave s preostalim tlakom, vertikalne osi koje drži kočnica, elemente s inercijom, krugove održavanja napajanja i pogone koji se nakon povratka napajanja vraćaju u automatsku sekvencu. Ako se te pojave ne prepoznaju na početku, trošak se ne pojavljuje samo pri nabavi dodatnih komponenti. Rastu i troškovi puštanja u rad i validacije, jer tim mora dokazati sigurnost rješenja čija arhitektura od početka nije obuhvaćala sva granična stanja. Dobra mjera za donošenje odluke ovdje nije broj primijenjenih rastavnih uređaja, nego broj energija i načina rada za koje tim može opisati put do sigurnog stanja te način potvrde da je to stanje postignuto.

Dobar primjer praktične zamke jest servisna intervencija koja formalno ne zahtijeva ulazak „duboko” u stroj, ali zahtijeva otvaranje zaštitnog pokrova i posezanje u područje u kojem ostaje pomoćni pogon ili gibanje koje proizlazi iz upravljačke sekvence. U takvim slučajevima odluka o samom isključenju energije brzo prelazi u dva susjedna područja. Kao prvo, treba se vratiti na metodičku procjenu rizika za konkretnu radnju, jer upravo ona odlučuje je li potpuno odvajanje svih energija nužno ili se može dokazati jednako vrijedna zaštitna mjera. Kao drugo, ako će operateri ili održavanje redovito zaobilaziti predviđeni postupak, problem više nije isključivo pitanje norme ISO 14118, nego ulazi u područje manipulacije zaštitnim uređajima i zaobilaženja. To je važno s gledišta odgovornosti: rješenje koje funkcionira samo kada korisnik postupa na način koji je malo vjerojatan u stvarnoj uporabi slabo je ne zato što je „na papiru” neusklađeno, nego zato što projekt nije uzeo u obzir predvidivo ljudsko ponašanje.

Upravo zato upućivanje na ISO 14118 treba doći na kraju, kao uređivanje odluke, a ne kao zamjena za analizu. Ako je ključno pitanje zahtijeva li određena intervencija potpuno isključenje svih energija, odgovarajuća razrada je procjena rizika prema ISO 12100, a u složenijim slučajevima i praksa procjene rizika opisana u pomoćnim dokumentima. Ako pak problem postane podložnost rješenja svjesnom zaobilaženju, prirodna dopuna je područje uređaja za blokiranje i sprječavanja manipulacije. Za projektni tim to znači jedno: odluku o sustavu isključenja treba odobriti tek kada se može obraniti istodobno tehnički, organizacijski i u eksploataciji. U protivnom se početna ušteda vrlo lako pretvara u kašnjenje preuzimanja, trošak preinake ili odgovornost proizvođača ili integratora koju je teško otkloniti.