Apsauga nuo netikėto paleidimo (ISO 14118) – energijos atjungimo sistemų analizė

Kodėl ši tema šiandien svarbi

Apsauga nuo netikėto paleidimo šiandien nebėra tik įgyvendinimo detalė, kurią galima palikti projekto pabaigai. Praktikoje sprendimas, kaip atjungti ir išsklaidyti energiją bei kaip patvirtinti saugią būseną perreguliavimo, valymo, užstrigimų šalinimo ir techninės priežiūros darbų metu, vienu metu daro įtaką žmonių saugai, valdymo sistemos architektūrai, mašinos priėmimo tvarkai ir gamintojo arba integratoriaus atsakomybei. Jei ši tema traktuojama tik kaip „pagrindinio jungiklio“ klausimas arba vien tik pavaros sustabdymas, projektą paprastai tenka perdaryti: atsiranda papildomų vožtuvų, blokavimo įtaisų, izoliavimo taškų poreikis, reikia keisti valdymo sekas ir koreguoti techninę dokumentaciją. Tai nėra neutralios sąnaudų požiūriu pataisos. Dažniausiai tai reiškia paleidimo termino nukėlimą, ginčą dėl tiekimo apimties ir sudėtingesnį pasirinktų apsaugos priemonių pagrindimą atliekant atitikties vertinimą.

Priežastis paprasta: netikėtas paleidimas retai būna vienos klaidos pasekmė. Dažniausiai tai kyla iš neteisingos projektinės prielaidos, kad judesio sustabdymas yra tapatus pavojaus pašalinimui. Tuo tarpu daugelyje mašinų problema išlieka dėl likutinės energijos, savaiminio maitinimo atsistatymo, elementų nusileidimo veikiant gravitacijai, pakartotinio paleidimo po klaidos panaikinimo arba įsikišimo iš kelių nepriklausomų valdymo šaltinių. Projektavimo komandai tai reiškia būtinybę atskirti tris klausimus, kurie praktikoje dažnai painiojami: ką reikia sustabdyti, ką reikia izoliuoti ir ką reikia išlaikyti saugioje būsenoje visą laiką, kol žmogus yra pavojingoje zonoje. Būtent čia priimami sprendimai, kurie vėliau lemia spintos įrangos, pneumatikos, hidraulikos, techninės priežiūros procedūrų ir validavimo sąnaudas.

Naudingiausias sprendimo kriterijus šiame etape yra toks: ar žmogui įėjus į pavojingą zoną lieka bent vienas kelias, kuriuo pavojingas judesys gali atsirasti be jo sąmoningo veiksmo ir jam to nekontroliuojant. Jei atsakymas nėra vienareikšmiškai neigiamas, vien funkcinio sustabdymo nepakanka ir reikia analizuoti energijos atjungimą bei apsaugą nuo jos netyčinio atkūrimo. Tai verta vertinti ne pagal deklaracijas, o pagal stebimus projekto rodiklius: kiek energijos šaltinių reikia izoliuoti, kiek laiko reikia saugiai būsenai pasiekti, kaip patvirtinamas energijos išnykimas, kiek operatoriaus intervencijų atliekama ne gamybos režimu ir kiek yra vietų, kur personalui kyla pagunda „apeiti“ apsaugą, nes tinkama procedūra yra per lėta arba per daug apsunkinanti. Pastarasis aspektas jau natūraliai siejasi su apsaugų manipuliavimo ir apėjimo problema, nes netinkamai parinktas energijos atjungimas labai dažnai problemos neišsprendžia, o tik perkelia ją į kasdienę eksploataciją.

Geras pavyzdys – darbo vieta su judamuoju gaubtu, kur atidarius gaubtą pavara sustabdoma, tačiau vertikalus cilindras lieka veikiamas slėgio, o uždarius gaubtą sistema grįžta į automatinį ciklą. Formaliai operatorius „neturėtų“ eiti giliau į zoną, tačiau realybėje jis šalins detalę, valys jutiklį arba koreguos griebtuvo padėtį. Jei tokiame scenarijuje nenumatytas kontroliuojamas energijos atjungimas ir išsklaidymas bei pakartotinio paleidimo sąlygos, pavojus kyla ne įprastos gamybos metu, o būtent per trumpas, pasikartojančias intervencijas. Projekto požiūriu tai momentas, kai reikia nuspręsti, ar problemą išsprendžia tinkamai suprojektuota energijos atjungimo sistema, ar klausimas jau pereina į blokavimo įtaisų su užrakinimu ir apėjimo galimybių ribojimo sritį. Jei naudojimo prielaidos neaiškios, atsakymas kyla ne iš intuicijos, o iš patikimos rizikos analizės, atliekamos praktiškai, atsižvelgiant į realius veiksmus, atliekamus prie mašinos.

Tik šiame kontekste ISO 14118 reikalavimai tampa prasmingai suprantami. Šis standartas nepakeičia rizikos analizės ir nepateikia vienos universalios energijos atjungimo schemos; jis tik susistemina mąstymą apie netikėto paleidimo prevenciją numatomose darbo ir intervencijų būsenose. Praktikoje jį reikia skaityti kartu su rizikos vertinimu, atliekamu pagal ISO 12100 ir taikant ISO/TR 14121-2 naudojamą metodiką, o kai atsiranda gaubtų ir blokavimo įtaisų tema – ir su reikalavimais, susijusiais su manipuliavimo ribojimu. Tai svarbu ir atsakomybės požiūriu: jei mašina tiekiama kaip agregatas, linija arba nebaigtoji mašina, numatyta integruoti, atsakomybės ribos už energijos atjungimo funkcijas turi būti aprašytos pakankamai tiksliai, kad tarp tiekėjų neatsirastų spraga. Būtent todėl ši tema reikalauja sprendimų dabar, o ne po montavimo: „saugaus atjungimo“ įrašymas į jau parengtą koncepciją beveik visada kainuoja daugiau nei teisingas jo apibrėžimas pačioje pradžioje.

Kur dažniausiai didėja sąnaudos arba rizika

Projektuose, susijusiuose su apsauga nuo netikėto paleidimo, sąnaudos retai padidėja todėl, kad kas nors „pridėjo per daug saugos“. Kur kas dažniau problema kyla dėl neteisingai suformuluoto pradinio klausimo: ar būtina atjungti energiją, kuriuos energijos šaltinius iš tikrųjų reikia išsklaidyti, kas atlieka veiksmą ir kokios būsenos mašina turi likti po įsikišimo. Jei šios prielaidos nėra tiksliai apibrėžtos, komanda suprojektuoja iš pažiūros paprastą sprendimą, o vėliau prie jo grįžta po priėmimo bandymų, gavusi naudotojo pastabas arba išanalizavusi avarinį scenarijų. Tuomet atsiranda brangiausi pakeitimai: valdymo architektūros keitimas, pneumatinės ar hidraulinės sistemos pertvarkymas, spintų papildomas komplektavimas, naujos procedūros ir pakartotinis atsakomybių suderinimas tarp mašinos tiekėjo, integratoriaus ir galutinio naudotojo. Praktinis vertinimo kriterijus čia yra aiškus: jeigu komanda negali apibūdinti, kokia mašinos energinė būsena reikalinga konkrečiam intervenciniam veiksmui, sprendimą dėl energijos atjungimo būdo priimti dar per anksti.

Antrasis sąnaudų šaltinis – energijos atjungimo sutapatinimas vien su judesio sustabdymu. Tai klaida, ypač dažna ten, kur yra daugiau nei viena terpė arba sukaupta energija: liekamasis slėgis, elementų kritimas veikiant gravitacijai, inercinis judėjimas, spyruoklės, hidrauliniai akumuliatoriai, padėtį išlaikančios pavaros. Tokiose sistemose „išjungimas“ nebūtinai reiškia žmogui, atliekančiam perreguliavimą, valymą ar užstrigimo šalinimą, saugią būseną. Projektavimo požiūriu pasekmė paprasta: jeigu atjungimo funkcija neapima liekamosios energijos išsklaidymo arba kontroliuojamo saugios būsenos palaikymo, reikia skaičiuoti ne tik su įrenginio perdarymu, bet ir su atsakomybe už neteisingai nustatytus naudojimo apribojimus. Praktikoje prieš tvirtinant koncepciją verta įvertinti tris dalykus: ar po atjungimo lieka energijos, galinčios sukelti judesį, ar operatorius gali tai patikrinti nenuimdamas apsaugų ir ar maitinimo atkūrimas savaime atkuria paleidimo galimybę.

Tipinis pavyzdys – stotis su pneumatinėmis pavaromis, kurioje centrinis atjungimo vožtuvas buvo laikomas pakankamu sprendimu. Schemoje tai atrodo teisingai, tačiau eksploatacijos metu paaiškėja, kad dalis cilindrų išlaiko padėtį dėl vietoje įkalinto slėgio, o pakartotinai padavus maitinimą sistema grįžta į parengties būseną greičiau, nei tai numato personalo veiksmų seka. Tuomet sąnaudos kyla ne vien dėl papildomų išleidimo vožtuvų ar mechaninių blokatorių įrengimo. Prisideda priėmimo sustabdymas, dokumentacijos atnaujinimas, pakartotinis valdymo logikos patikrinimas, o kartais ir instrukcijų bei mokymų pakeitimai. Būtent šiuo momentu tema iš paprasto atjungimo elemento parinkimo pereina į praktinį rizikos vertinimo pagal ISO 12100 lauką: reikia remtis realiais veiksmais, numatomomis žmogaus klaidomis ir patekimo į pavojingą zoną būdu. Hidraulinėse sistemose papildomai kyla klausimas, ar energijos išsklaidymas nepablogina apkrovos stabilumo; tuomet projektinis sprendimas turi būti vertinamas kartu su reikalavimais saugiam valdymui ir slėgio palaikymui sistemoje.

Tik šiame etape nuoroda į ISO 14118 padeda susisteminti sprendimą, tačiau jo nepakeičia. Standartas nurodo kryptį: užkirsti kelią netikėtam paleidimui tinkamai atjungiant, išsklaidant arba kontroliuojant energiją, taip pat taikant organizacines ir technines priemones, atitinkančias numatomas intervencijas. Tačiau jeigu komandoje kyla ginčas, ar konkretus veiksmas yra „aptarnavimas sustabdžius mašiną“, ar jau įsikišimas, kuriam būtina visiška energijos izoliacija, tai signalas, kad reikia grįžti prie praktikoje taikomos pavojų nustatymo pagal ISO 12100 ir rizikos vertinimo metodikos, o ne ieškoti atsakymo vien schemoje. Savo ruožtu, kai sprendimas grindžiamas apsaugos atidarymu ir prieigos blokavimu, greitai iškyla antra problema: ar konstrukcija neskatina apeiti apsaugos priemonių, nes atjungimo procedūra yra per lėta arba per daug apsunkinanti. Tuomet tema natūraliai pereina ir į apsaugos priemonių apėjimo ribojimą. Projekto vadovui svarbiausias sprendimo kriterijus todėl skamba ne „kokį aparatą taikyti“, o „ar pasirinktas atjungimo būdas užtikrina pakartojamą, patikrinamą saugią būseną konkrečiam veiksmui ir konkrečiai prieigai“. Jei atsakymas nėra vienareikšmis, sąnaudos išaugs vėliau, paprastai mažiau kontroliuojamu projekto momentu.

Kaip prie šios temos prieiti praktiškai

Praktikoje apsauga nuo netikėto paleidimo prasideda ne nuo skyriklio, vožtuvo ar sustabdymo procedūros parinkimo, o nuo aiškaus sprendimo, kokie veiksmai iš tikrųjų bus atliekami su mašina ir kokios techninės būsenos ji tuo metu turi būti. Šis sprendimas tiesiogiai veikia sistemos architektūrą, dokumentacijos apimtį, paleidimo trukmę ir gamintojo arba integratoriaus atsakomybę. Jei projektavimo komanda pasirenka pernelyg švelnią prielaidą ir techninės priežiūros veiksmą traktuoja kaip įprastą aptarnavimą sustabdžius mašiną, rizika sugrįš priėmimo, validavimo metu arba jau perdavus mašiną eksploatuoti. Kita vertus, jei prielaida bus pernelyg griežta, išlaidos padidės dėl sudėtingesnių atjungimo grandinių, papildomų aparatų, didesnio sekų sudėtingumo ir mažesnio techninio prieinamumo. Todėl praktinis sprendimo kriterijus turėtų būti vienas: ar konkrečiam veiksmui galima pasiekti ir patvirtinti saugią būseną, kuri pašalina nepageidaujamo judesio bei nekontroliuojamo energijos išsiskyrimo galimybę.

Tai reiškia, kad vadovas arba produkto savininkas turėtų pareikalauti iš komandos aprašyti veiksmus ne mašinos funkcijų, o prieigos ir energijos požiūriu. Reikia žinoti, kas patenka į zoną, ką liečia, kokius apsauginius gaubtus atidaro, kurios pavaros gali atlikti liekamąjį judesį, kur išlieka slėgis, gravitacinė atrama arba elastinguose elementuose sukaupta energija. Tik tuo pagrindu galima nuspręsti, ar pakanka atjungti vieną terpę, ar būtina izoliuoti kelis šaltinius kartu išsklaidant energiją ir apsaugant nuo pakartotinio įjungimo. Šioje vietoje tema natūraliai pereina į praktinį rizikos vertinimą pagal ISO 12100: jei ginčas kyla dėl ribos tarp „sustabdymo intervencijai“ ir „darbo, kuriam būtina visiška izoliacija“, tai jau nėra vykdomojo aparato problema, o pavojaus klasifikavimo, numatomo naudojimo ir klaidingai daromų prielaidų apie naudotojo elgseną klausimas.

Geras pavyzdys – darbo vieta su elektrine pavara ir pneumatiniais cilindrais, prie kurios operatorius periodiškai prieina pašalinti užstrigusios medžiagos. Formaliai mašina gali būti sustabdyta, tačiau tai dar nereiškia, kad intervencija yra saugi. Jei po sustabdymo išlieka slėgis, galintis pajudinti darbinį elementą, arba pavara gali būti vėl suaktyvinta automatikos, vien komanda „stop“ problemos neišsprendžia. Tokiu atveju projektinis sprendimas turėtų atsakyti ne tik į klausimą, kaip atjungti energiją, bet ir kaip naudotojas atpažins, kad saugi būsena iš tikrųjų pasiekta ir išlaikoma. Jei reikalaujama procedūra yra ilga, nepatogi arba neaiški, didėja apsaugų apėjimo rizika, todėl atsiranda papildoma konstrukcinė problema, susijusi su jautrumu manipuliavimui. Paprastai tai kainuoja daugiau nei tinkamas situacijos įvertinimas pradžioje, nes vėlesni pataisymai apima jau ne pavienį aparatą, o valdymo logiką, apsaugas, instrukciją ir validavimą.

• ar atjungimas apima visas energijos rūšis, galinčias sukelti judesį arba pavojingą išsiskyrimą,
• ar saugi būsena yra matoma arba kitaip vienareikšmiškai patikrinama,
• ar pakartotinis įjungimas reikalauja sąmoningo veiksmo ir neįvyks savaime atkūrus maitinimą.

Tik taip susisteminus klausimą verta pereiti prie norminių nuorodų. Kai apsaugos priemonė grindžiama funkcijos įgyvendinimu per valdymo sistemą, o ne vien mechaniniu energijos izoliavimu, klausimas pereina į saugos funkcijoms ir jų patikimumui taikomų reikalavimų sritį. O kai esminiu tampa sprendimas, ar konkrečiai intervencijai būtinas visiškas atjungimas, ar leistinas kitas apsaugos metodas, būtina grįžti prie metodiško pavojų nustatymo pagal ISO 12100 ir rizikos vertinimo. Projektavimo praktikoje tai nėra atskiri pasauliai, o nuoseklūs to paties sprendimo sluoksniai. ISO 14118 padeda susisteminti mąstymą apie atjungimą ir netikėto paleidimo prevenciją, tačiau neatleidžia komandos nuo pareigos parodyti, kad sprendimas yra adekvatus numatytam veiksmui, atsparus tipiniams apėjimo būdams ir gali būti validuotas nepaliekant „pilkųjų zonų“ atsakomybės srityje.

Į ką atkreipti dėmesį diegiant

Dažniausia klaida diegiant apsaugą nuo netikėto paleidimo yra ta, kad komanda energijos atjungimą vertina kaip paprastą aparato parinkimą, nors iš tikrųjų tai yra sprendimas dėl eksploatacinės, techninės priežiūros ir projektavimo atsakomybės ribų. Jeigu sprendime nėra aiškiai nustatyta, kas, kada ir kokios mašinos būsenos gali patekti į pavojingą zoną, net ir techniškai teisinga atjungimo schema rizikos nepanaikina. Projekto požiūriu pasekmės paprastai būna brangios: vėlyvi dokumentacijos taisymai, skirstomųjų spintų papildomas komplektavimas, valdymo logikos pakeitimai, o galiausiai – ginčas, ar gamintojas numatė tinkamą intervencijos būdą. Praktinis vertinimo kriterijus čia paprastas: prieš tvirtinant sprendimą reikia gebėti parodyti, ar kiekvienam numatytam veiksmui atjungimas iš tikrųjų pašalina judesio atsiradimo, energijos išsiskyrimo arba veikimo atkūrimo be sąmoningo žmogaus veiksmo galimybę.

Projektavimo etape ypač pavojingi yra „beveik pakankami“ sprendimai, t. y. tokie, kurie atjungia pagrindinį maitinimą, bet palieka pagalbinius energijos šaltinius, sukauptą energiją arba iš išorės sukeltos judėsenos galimybę. Praktikoje tai taikoma pneumatinėms sistemoms su liekamuoju slėgiu, vertikalioms ašims, laikomoms stabdžiu, inerciją turintiems elementams, palaikymo grandinėms ir pavaroms, kurios sugrįžus maitinimui grįžta į automatinę seką. Jeigu šie reiškiniai neatpažįstami pradžioje, išlaidos neapsiriboja tik papildomų komponentų pirkimu. Didėja ir paleidimo bei validavimo sąnaudos, nes komanda turi įrodyti sprendimo saugą, nors jo architektūra nuo pat pradžių neapėmė visų ribinių būsenų. Geras sprendimo kriterijus čia yra ne panaudotų atjungiklių skaičius, o energijos rūšių ir darbo režimų skaičius, kuriems komanda gali aprašyti kelią į saugią būseną ir būdą patvirtinti, kad ši būsena buvo pasiekta.

Geras praktinių spąstų pavyzdys yra techninės priežiūros intervencija, kuriai formaliai nereikia patekti „giliai“ į mašiną, tačiau tenka atidaryti apsaugą ir pasiekti zoną, kurioje išlieka pagalbinė pavara arba judesys, kylantis iš valdymo sekos. Tokiais atvejais sprendimas vien dėl energijos atjungimo greitai pereina į dvi gretimas sritis. Pirma, reikia grįžti prie metodiško konkretaus veiksmo rizikos vertinimo, nes būtent jis lemia, ar būtinas visiškas energijos izoliavimas, ar galima pagrįsti lygiavertę apsaugos priemonę. Antra, jeigu operatoriai arba techninės priežiūros personalas reguliariai apeis numatytą procedūrą, problema nustoja būti vien ISO 14118 klausimu ir pereina į apsaugų manipuliavimo bei apėjimo sritį. Tai svarbu atsakomybės požiūriu: sprendimas, kuris veikia tik tada, kai naudotojas elgiasi taip, kaip realiomis eksploatavimo sąlygomis mažai tikėtina, yra silpnas ne todėl, kad „popieriuje“ neatitinka reikalavimų, o todėl, kad projekte nebuvo atsižvelgta į numatomą žmonių elgseną.

Būtent todėl nuoroda į ISO 14118 turėtų atsirasti pabaigoje kaip sprendimų sugrupavimas, o ne kaip analizės pakaitalas. Jeigu esminis klausimas yra, ar konkrečiai intervencijai reikia visiškai atjungti visas energijos rūšis, tinkamas tęsinys yra rizikos vertinimas pagal ISO 12100, o sudėtingesniais atvejais – ir pagalbiniuose dokumentuose aprašyta rizikos įvertinimo praktika. Jeigu problema tampa sprendimo pažeidžiamumas sąmoningam apėjimui, natūralus papildymas yra blokuojančių įtaisų ir apsaugos nuo manipuliavimo sritis. Projektavimo komandai tai reiškia viena: sprendimą dėl atjungimo sistemos reikia tvirtinti tik tada, kai jį galima pagrįsti kartu techniniu, organizaciniu ir eksploataciniu požiūriu. Priešingu atveju pradinis taupymas labai lengvai virsta priėmimo vėlavimu, pertvarkymo išlaidomis arba sunkiai išsklaidoma gamintojo ar integratoriaus atsakomybe.