Reteszeléssel ellátott reteszelőberendezések az ISO 14119 szerint – hogyan akadályozható meg a megkerülésük?

A reteszeléssel ellátott reteszelőberendezések manipulálása ritkán vezethető vissza kizárólag a kezelő „rossz gyakorlatára”. Leggyakrabban olyan tervezési döntések következménye, amelyek nem veszik figyelembe a veszélyzónához való hozzáférés tényleges módját, a biztonságos nyitásig szükséges várakozási időt, illetve az újraindítás terhességét. Ezért a MSZ EN ISO 14119 szerinti megfelelőséget érdemes tágabb összefüggésben vizsgálni: nemcsak azt, hogyan válasszuk ki a reteszelőberendezést, hanem azt is, hogyan tervezzük meg a védőburkolatot, a leállítási szekvenciát és a hozzáférési logikát úgy, hogy a védelem megkerülése ne a felhasználó számára a legegyszerűbb megoldás legyen.

A gyakorlatban ez több döntési szint összekapcsolását jelenti. Maga a MSZ EN ISO 14119 rendszerezi a reteszelőberendezések kiválasztását és a manipuláció lehetőségét csökkentő intézkedéseket, de együtt kell értelmezni a védőburkolatokra vonatkozó MSZ EN ISO 14120 szabvánnyal, az ISO 13849 szerinti biztonsági funkciók követelményeivel, valamint ott, ahol ez az elektronikus vezérlőrendszereket érinti, a SIL követelményeivel is. Ha biztonsági kerítésről van szó, akkor az ISO 13857 is lényeges. Ugyanakkor még a szabványokra való helyes hivatkozás sem helyettesíti az alapvető tervezési döntést: a gép tervezett üzemeltetési módja fenntartható-e anélkül, hogy nyomás nehezedne a védelmi megoldások megkerülésére.

Miért fontos ez a téma ma

A reteszeléssel ellátott reteszelőberendezések ma már nem a mozgó védőburkolat egy olyan részletei, amelyet a projekt végén választanak ki. A gyakorlatban hatással vannak a gép architektúrájára, a kezelési módra, a leállítás logikájára és a veszélyzónához való hozzáférés megszervezésére. Ha kizárólag a formális megfelelőség szempontjából választják ki őket, és nem a tényleges üzemeltetési körülmények alapján, gyorsan megjelenik a manipuláció: az aktiváló elem megkerülése, a burkolat nyitva hagyása, a ciklus kikényszerítése nem teljesen zárt hozzáférés mellett. Ez nem mellékes probléma, hanem annak a jele, hogy a terv nem számolt a gép előrelátható használati módjával.

A következmények rendszerint költségesek, és későn jelentkeznek, amikor a módosítások bevezetése a legnehezebb. A termék tulajdonosának és a megfelelőségért felelős személynek ilyenkor egyszerre kell szembenéznie a sérülési kockázat növekedésével, az alkalmazott védelmi intézkedések megkérdőjelezésével és az üzembe helyezés utáni korrekciók szükségességével. A legdrágább hibák a kiinduló feltételek meghatározásának szakaszában keletkeznek, amikor a reteszelést egyszerű katalógusválasztásként kezelik, nem pedig a biztonsági funkció és a hozzáférés megszervezésének részeként. A tervezőcsapatnak nemcsak arra kell választ adnia, hogy a védőburkolatot felügyelni kell-e, hanem mindenekelőtt arra is: milyen gyakran nyitják majd ki, a leállás együtt jár-e kifutással vagy maradék energiával, lesz-e a kezelőnek gyakorlati oka a ciklus lerövidítésére, és ez a motiváció megszüntethető-e a megoldás módosításával.

Ez különösen jól látható ott, ahol a kezelőnek rendszeresen elakadásokat kell megszüntetnie vagy anyagot kell pótolnia. Ha a védőburkolat a teljes leállásig reteszelt, de a retesz oldási ideje nem felel meg a folyamat tényleges dinamikájának, vagy a munka folytatásának eljárása aránytalanul körülményes, akkor a védelem megkerülése előre láthatóvá válik. Ennek a tervre nézve kézzelfogható következményei vannak: további mechanikai átalakítások, a biztonsági áramkör módosításai, a műszaki dokumentáció korrekciói, esetenként pedig a hajtás- vagy hidraulikus rendszer átépítése is, ha a probléma forrásának maga a leállítás módja bizonyul.

Csak ebben az összefüggésben indokolt a szabványokra hivatkozni. A MSZ EN ISO 14119 rendszerezi a reteszeléssel ellátott reteszelőberendezések kiválasztását és a manipuláció korlátozásának megközelítését, de nem helyettesíti a kockázatelemzést. Együtt kell értelmezni a védőburkolatokra vonatkozó MSZ EN ISO 14120 szabvánnyal, valamint az ISO 13849 szerinti biztonsági funkciók követelményeivel, az elektronikus vezérlőrendszerek esetében pedig a SIL-lel is. Ha a hozzáférést biztonsági kerítés biztosítja, akkor az ISO 13857 szintén jelentőséggel bír. Gyakorlati szempontból a következtetés egyszerű: a manipuláció kockázatáról a tervezés vagy a korszerűsítés szakaszában kell dönteni, mert az üzembe helyezés után már a hibás kiinduló feltételek következményeit kezelik, nem azok okait.

Hol nő meg leggyakrabban a költség vagy a kockázat

A legtöbb veszteség nem magából a reteszeléssel ellátott blokkolóberendezés alkalmazásából adódik, hanem abból a téves feltételezésből, hogy a manipuláció problémája egy „erősebb” zárral vagy szigorúbb vezérlési logikával megszüntethető. A gyakorlatban a költség és a kockázat akkor nő meg, amikor a védőintézkedés a normál munkavégzést jobban akadályozza, mint amennyire ténylegesen korlátozza a megkerülés lehetőségét. Ilyenkor a tervezőcsapat a tünetet látja, nem az okot: a védőburkolat gyakori nyitását, a folyamat megfigyelésének igényét, a ciklusidő rövidítését, a beállítások korrekcióját vagy az elakadások megszüntetését. Ha ezeket a helyzeteket a projekt lezárása előtt nem ismerik fel, megjelenik a következmények tipikus láncolata: a burkolatok átalakítása, a vezérlési logika módosítása, a biztonsági funkciók újbóli validálása, valamint vita arról, hogy a probléma forrása a konstrukcióban, az integrációban vagy a használatban keresendő.

A kockázat másik területe a mechanikai és automatizálási döntések szétválasztása. Ha a védőburkolat tervezője, az automatizálási szakember és a megfelelőségért felelős személy egymástól függetlenül dolgozik, a reteszelést gyakran túl későn választják ki, miután már rögzítették az ajtó geometriáját, a nyitás irányát, a hézagokat, a zárási erőket és a hibaelhárítás módját. Ilyenkor a blokkolóberendezésnek kell kompenzálnia a gép teljes architektúrájának gyengeségeit. Ennek következménye az alkatrészek túlterhelése, az együtttengelyűségi problémák, a védőburkolat instabil helyzete és olyan szerelési tűrések, amelyek az üzemeltetés során már a védelem megkerülésének kedveznek. Ha a reteszelés megfelelő működése nagyon pontos beállítástól, „finom” zárástól vagy attól függ, hogy a kezelő minden alkalommal tovább várjon annál, mint amit a folyamat elfogad, akkor a manipuláció kockázata már eleve be van építve a tervezésbe.

A gyakorlatban ez jól látható azokon az állomásokon, ahol a veszélyzónához való hozzáférés gyakori, de rövid idejű: átállításkor, alkatrész kivételekor, hulladék eltávolításakor vagy a pozíció korrekciójakor. Ha a terv a veszély megszűnéséig tartó reteszelést ír elő, de nem választja szét a folyamat leállítását a gyors, ellenőrzött kezelői vagy szervizhozzáféréstől, a felhasználó elkezdi keresni a rövidebb utat. Az illetéktelen működtetőelem, az „egy pillanatra” nem teljesen bezárt burkolat, a retesz kitámasztása vagy az újraindítási sorrend megkerülése ilyenkor nem incidens, hanem annak a jele, hogy a tervezési döntés hibás. Az ilyen helyzetek feltárásában segíthet a gépek és gyártósorok biztonsági auditja.

• Milyen gyakran nyitják a védőburkolatot a normál munkaciklus során.
• Mennyi idő telik el a leállítástól a biztonságos nyitásig.
• Az újraindítás feltételei arányban állnak-e a beavatkozás jellegével.
• Van-e a felhasználónak egyszerű, műszaki lehetősége a védelem megkerülésére.
• A védőburkolat geometriája és a szerelés módja elősegíti-e a retesz stabil működését az üzemeltetés során.

A szabványok rendszerezik ezeknek a kérdéseknek az értékelési módját, de nem hozzák meg a döntést a tervező helyett. A MSZ EN ISO 14119 meghatározza a blokkolóberendezések kiválasztásának és a manipuláció korlátozásának elveit, ezt azonban össze kell kapcsolni a MSZ EN ISO 14120 szabvánnyal, a biztonsági funkciókat pedig az ISO 13849 logikája szerint kell vizsgálni, egyes esetekben pedig az elektronikus vezérlőrendszereknél a SIL szerint is. Ha biztonsági elkerítésről van szó, az ISO 13857 sem hagyható figyelmen kívül. A végső mérce azonban továbbra is gyakorlati: a manipuláció még olyan probléma-e, amelyet korlátozni kell, vagy már annak bizonyítéka, hogy a biztonságos hozzáférés feltételeit és a leállítási sorrendet hibásan határozták meg.

Hogyan közelítsük meg a témát a gyakorlatban

Az a kérdés, hogyan lehet megakadályozni a manipulációt, nem egy konkrét eszköz kiválasztásával kell hogy kezdődjön. Először azt kell meghatározni, milyen helyzetben lesz a kezelőnek vagy a karbantartó személyzetnek valós motivációja a biztonsági funkció megkerülésére. Ha a veszélyes zónába gyakran kell belépni, a leállás túl sokáig tart, vagy a védőburkolat kinyitása után a készenléti állapot visszaállítása aránytalanul körülményes, akkor a manipuláció a tervezés előre látható következményévé válik. Vezetői szempontból ez magasabb üzembe helyezési költséget, több utólagos módosítást az átvétel után, valamint nehezebben védhető megoldásokat jelent egy incidens vagy megfelelőségi vita esetén.

Ezért a döntések sorrendje alapvető jelentőségű. Először rendszerezni kell a hozzáférési forgatókönyveket: átállítás, elakadások megszüntetése, tisztítás, minőségellenőrzés, diagnosztika és karbantartás. Csak ezután lehet megítélni, hogy a reteszelésnek olyan veszélyhez való hozzáférést kell-e megakadályoznia, amely a leállítási parancs kiadása után is fennáll, vagy csupán a helyes működési sorrendet kell kikényszerítenie. E két cél egyetlen megoldásban való összekeverése gyorsan rejtett költségekhez vezet: nehezen értelmezhető reteszoldási feltételekhez, felesleges szervizmegkerülésekhez, az automatizálás és a technológiai folyamat közötti konfliktusokhoz, valamint olyan dokumentációhoz, amelynek következetessége nehezen védhető.

A gyakorlati példa egyszerű. Ha a védőburkolatot műszakonként többször is ki kell nyitni kisebb zavarok elhárítása érdekében, és a retesz csak olyan késleltetéssel old, amelyet a kezelő indokolatlannak érez, akkor a probléma nem a munkafegyelemben van. Önmagában a kapcsoló cseréje egy magasabb kódolási szintű modellre megnehezítheti az egyszerű műszaki manipulációt, de az okát nem szünteti meg. Ilyen helyzetben vissza kell térni a kiinduló feltételekhez, és meg kell vizsgálni, hogy lerövidíthető-e a biztonságos leállás, elkülöníthetők-e a hozzáférési zónák, módosítható-e a resetelési sorrend, bevezethető-e egy feltételhez kötött beavatkozási üzemmód, vagy másképp oldható-e meg az elakadások megszüntetése. Éppen ezek a tervezési döntések csökkentik a védőburkolatok megkerülésére nehezedő nyomást.

Csak az ilyen rendezés után lehet érdemben alkalmazni a szabványi hivatkozásokat. A MSZ EN ISO 14119 rendszerezi a reteszelő eszközök kiválasztását, beépítési módját és a manipuláció lehetőségét korlátozó intézkedéseket, de nem helyettesíti a gép tényleges használati módjának értékelését. Ezt a MSZ EN ISO 14120 szabvánnyal együtt kell vizsgálni, a biztonsági funkciók kiválasztása és validálása pedig az ISO 13849-re való hivatkozást igényli; elektronikus vezérlőrendszerek esetén a SIL is megjelenhet. Ha a hozzáférés biztonsági kerítésre vonatkozik, az ISO 13857 szintén lényeges. Gyakorlati szempontból a legfontosabb következtetés a következő: először a megkerülés motivációját kell megszüntetni, és csak utána érdemes magát a megkerülést megnehezíteni.

Mire kell figyelni a bevezetés során

A bevezetés során a leggyakoribb hiba az a feltételezés, hogy a reteszeléssel ellátott reteszelőberendezés önmagában megoldja a manipuláció problémáját. Valójában a döntés súlypontját a védőburkolat használatának módjára, a kioldási logikára, a beépítés geometriájára és a beavatkozások megszervezésére helyezi át. Ha ezek a feltételek nincsenek kellően kidolgozva, a felhasználó továbbra is kerülőutakat fog keresni, és a projekt ezért a lehető legrosszabb pillanatban fizet meg: az üzembe helyezéskor, az átvétel során vagy már a gép használatba adása után. Ilyenkor nemcsak mechanikai módosítások és a vezérlőrendszer változtatásai jelennek meg, hanem a megfelelőségi dokumentáció védelme is nehézzé válik, amikor kiderül, hogy az előre látható védelmi megoldás megkerülését valójában nem korlátozták érdemben.

Különös körültekintéssel kell eljárni ott, ahol a retesznek olyan problémákat kellene kompenzálnia, amelyek forrása nem magában a reteszelőberendezésben rejlik. Ha a védőburkolatot gyakran kell nyitni, mert a folyamat beállítást, elakadások megszüntetését vagy a munkadarab állapotának ellenőrzését igényli, a védelmi szint puszta növelése rendszerint nem oldja meg a problémát. Inkább növeli a költségeket és fokozza az üzemeltetési feszültségeket. Ha a veszélyzónához való hozzáférésre a normál munkaciklus során rendszeresen szükség van, először azt kell megvizsgálni, hogy nem olyan folyamatot terveznek-e, amely önmagában ösztönzi a védelmi megoldás megkerülését. Ilyen esetben nem az a helyes kérdés, hogy „milyen reteszt alkalmazzunk”, hanem az, hogy a hozzáférés gyakorisága, a várakozási idő és az újraindítás feltételei elfogadhatók-e a tényleges kezelési gyakorlat szempontjából.

Tipikus probléma akkor jelentkezik, amikor a retesz kioldása a mozgás megszűnésétől vagy az energia levezetésétől függ, de a nyitásra kész állapotot jelző jel instabil, vagy késve követi a gép viselkedését. A kezelő ilyenkor olyan védőburkolatot lát, amelyet „nem lehet kinyitni”, noha az ő nézőpontjából a beavatkozás sürgős és műszakilag egyszerű. Ha emellett nem alakítottak ki biztonságos üzemmódot a zavarok elhárítására, gyorsan megjelennek a helyettesítő megoldások: a védőburkolat résnyire nyitva hagyása, a működtető elem helyzetének kényszerítése vagy beavatkozás az aktiváló mechanizmusba. Ez egyértelmű jelzés arra, hogy a bevezetés határfeltételeit hibásan azonosították.

Az üzembe helyezés szakaszában ezért nemcsak a biztonsági funkció formális helyességét érdemes figyelni, hanem a tényleges üzemeltetés lefolyását is: a veszélyzónába való belépést igénylő leállások számát, a kioldásra való várakozási időt, a beavatkozások okait és az indítás után végrehajtott logikai módosítások számát. Ha ezek a jelzések erősödnek, a projekt továbbra is magában hordozza a manipuláció kockázatát, még akkor is, ha maga a biztonsági elem megfelelően lett kiválasztva. Ilyen felállásban a MSZ EN ISO 14119 továbbra is viszonyítási pont marad a reteszelőberendezés kiválasztásához és szereléséhez, de azt a MSZ EN ISO 14120 szabvánnyal, az ISO 13849 szerinti biztonsági funkciókra vonatkozó követelményekkel, megfelelő esetekben pedig az elektronikus vezérlőrendszerekre vonatkozó SIL-lel és a biztonsági elkerítésekre vonatkozó ISO 13857 szabvánnyal együtt kell alkalmazni. A bevezetés csak akkor tekinthető kiforrottnak, ha a reteszelés nem a folyamat gyengeségeit fedi el, hanem egy helyesen azonosított kockázati forgatókönyvet zár le.