Aizsardzība pret neparedzētu iedarbināšanu (ISO 14118) – enerģijas atslēgšanas sistēmu analīze

Kāpēc šī tēma šodien ir svarīga

Aizsardzība pret negaidītu iedarbināšanu vairs nav izpildes detaļa, ko var atstāt uz projekta beigām. Praksē lēmums par to, kā atslēgt un izkliedēt enerģiju un kā apstiprināt drošu stāvokli pāraprīkošanas, tīrīšanas, iestrēgumu novēršanas un apkopes darbu laikā, vienlaikus ietekmē cilvēku drošību, vadības sistēmas arhitektūru, iekārtas pieņemšanas kārtību un ražotāja vai integratora atbildību. Ja šī tēma tiek uztverta tikai kā “galvenā slēdža” jautājums vai tikai kā piedziņas apturēšana, projekts parasti atgriežas pārstrādei: rodas vajadzība pēc papildu vārstiem, bloķēšanas elementiem, izolācijas punktiem, izmaiņām vadības secībās un korekcijām tehniskajā dokumentācijā. Tās nav izmaksu ziņā neitrālas korekcijas. Visbiežāk tas nozīmē palaišanas termiņa pārcelšanu, strīdu par piegādes apjomu un sarežģītāku izvēlēto aizsardzības pasākumu pamatojumu atbilstības novērtēšanas laikā.

Iemesls ir vienkāršs: negaidīta iedarbināšana reti ir viena kļūdas rezultāts. Parasti tā ir nepareiza projektēšanas pieņēmuma sekas, ka kustības apturēšana ir līdzvērtīga bīstamības novēršanai. Tikmēr daudzās iekārtās problēma ir atlikusī enerģija, automātiska barošanas atjaunošanās, elementu noslīdēšana gravitācijas ietekmē, atkārtota palaišana pēc kļūdas atiestatīšanas vai iejaukšanās no vairākiem neatkarīgiem vadības avotiem. Projektēšanas komandai tas nozīmē nepieciešamību nošķirt trīs jautājumus, kurus praksē bieži sajauc: kas ir jāaptur, kas ir jāizolē un kas ir jāuztur drošā stāvoklī visu laiku, kamēr cilvēks atrodas bīstamajā zonā. Tieši šeit tiek pieņemti lēmumi, kas vēlāk nosaka skapja, pneimatikas, hidraulikas, apkopes procedūru un validācijas izmaksas.

Vislietderīgākais lēmuma kritērijs šajā posmā ir šāds: vai pēc cilvēka ieiešanas bīstamajā zonā pastāv jebkāds ceļš, pa kuru bīstama kustība var rasties bez viņa apzinātas darbības un ārpus viņa kontroles. Ja atbilde nav nepārprotami noliedzoša, ar funkcionālu apturēšanu vien nepietiek un ir jāanalizē enerģijas atslēgšana un aizsardzība pret tās nejaušu atjaunošanu. To ir vērts vērtēt nevis pēc deklarācijām, bet pēc novērojamiem projekta rādītājiem: izolējamo enerģijas avotu skaita, laika, kas nepieciešams droša stāvokļa sasniegšanai, enerģijas izzušanas apstiprināšanas veida, operatora iejaukšanos skaita ārpus ražošanas režīma un vietu skaita, kur personālam rodas kārdinājums “apiet” aizsardzību, jo pareizā procedūra ir pārāk lēna vai pārāk apgrūtinoša. Tas jau ir dabisks saskares punkts ar aizsardzības līdzekļu manipulēšanas un apiešanas jautājumu, jo nepareizi izvēlēta enerģijas atslēgšana ļoti bieži problēmu nenovērš, bet tikai pārceļ to uz ikdienas ekspluatāciju.

Labs piemērs ir darba vieta ar kustīgu aizsargu, kur pēc aizsarga atvēršanas piedziņa tiek apturēta, bet vertikālais cilindrs paliek zem spiediena, un sistēma pēc aizsarga aizvēršanas atgriežas automātiskajā ciklā. Formāli operatoram “nevajadzētu” ieiet dziļāk zonā, taču realitātē viņš izņems detaļu, tīrīs sensoru vai koriģēs satvērēja stāvokli. Ja šādā scenārijā nav paredzēta kontrolēta enerģijas atslēgšana un izkliedēšana, kā arī atkārtotas iedarbināšanas nosacījumi, tad bīstamība rodas nevis normālas ražošanas laikā, bet tieši īsu, atkārtotu iejaukšanos laikā. No projekta viedokļa tas ir brīdis, kad jāizlemj, vai problēmu atrisina pareizi izstrādāta enerģijas atslēgšanas sistēma, vai arī jautājums pāriet uz bloķēšanas ierīču ar aizturi un apiešanas iespēju ierobežošanas jomu. Ja lietošanas pieņēmumi nav skaidri, atbilde neizriet no intuīcijas, bet gan no rūpīgas riska novērtēšanas saskaņā ar ISO 12100, kas veikta praktiski, ņemot vērā faktiskās darbības, kuras tiek veiktas pie iekārtas.

Tikai šādā kontekstā ISO 14118 prasības ir jēgpilni interpretējamas. Standarts neaizstāj riska analīzi un nepiedāvā vienu universālu enerģijas atslēgšanas shēmu; tas gan sakārto domāšanas veidu par negaidītas iedarbināšanas novēršanu paredzamos darba un iejaukšanās stāvokļos. Praksē tas jālasa kopā ar riska novērtēšanu, kas veikta saskaņā ar ISO/TR 14121-2 izmantoto pieeju, un, kad parādās aizsargu un bloķēšanas tēma, arī ar prasībām par manipulāciju ierobežošanu. Tam ir nozīme arī atbildības sadalē: ja iekārta tiek piegādāta kā mezgls, līnija vai nepabeigta iekārta, kas paredzēta integrācijai, atbildības robežām par enerģijas atslēgšanas funkcijām jābūt aprakstītām pietiekami precīzi, lai starp piegādātājiem nerastos plaisa. Tieši tāpēc šī tēma prasa lēmumu tagad, nevis pēc montāžas: “drošas atslēgšanas” vēla pievienošana gatavai koncepcijai gandrīz vienmēr izmaksā vairāk nekā tās pareiza definēšana pašā sākumā.

Kur visbiežāk pieaug izmaksas vai risks

Projektos, kas saistīti ar aizsardzību pret negaidītu iedarbināšanu, izmaksas reti pieaug tāpēc, ka kāds ir “pievienojis pārāk daudz drošības”. Daudz biežāk problēma sākas ar nepareizi uzdotu jautājumu pašā sākumā: vai enerģija vispār ir jāatvieno, kuri enerģijas avoti patiešām ir jāizkliedē, kas veic konkrēto darbību un kādā stāvoklī iekārtai jāpaliek pēc iejaukšanās. Ja šie pieņēmumi nav pietiekami precizēti, komanda izstrādā šķietami vienkāršu risinājumu, bet pēc tam pie tā atgriežas pēc pieņemšanas izmēģinājumiem, pēc lietotāja piezīmēm vai pēc negadījuma scenārija analīzes. Tieši tad rodas visdārgākās korekcijas: vadības arhitektūras maiņa, pneimatikas vai hidraulikas pārbūve, skapju papildaprīkošana, jaunas procedūras un atkārtota atbildības saskaņošana starp iekārtas piegādātāju, integratoru un gala lietotāju. Praktiskais vērtēšanas kritērijs šeit ir nepārprotams: ja komanda nespēj aprakstīt, kāds iekārtas enerģētiskais stāvoklis ir nepieciešams konkrētai iejaukšanās darbībai, tad lēmums par enerģijas atslēgšanas veidu vēl ir pāragrs.

Otrs izmaksu avots ir enerģijas atslēgšanas pielīdzināšana tikai kustības apturēšanai. Tā ir kļūda, kas īpaši bieži sastopama tur, kur ir vairāk nekā viena vide vai uzkrāta enerģija: atlikušais spiediens, elementu noslīdēšana gravitācijas ietekmē, inerces kustība, atsperes, hidrauliskie akumulatori, piedziņas, kas notur pozīciju. Šādās sistēmās “izslēgšana” ne vienmēr nozīmē cilvēkam drošu stāvokli, veicot pārregulēšanu, tīrīšanu vai iesprūduma novēršanu. Projektēšanas sekas ir vienkāršas: ja atslēgšanas funkcija neietver atlikušās enerģijas izkliedi vai droša stāvokļa kontrolētu uzturēšanu, jārēķinās ne tikai ar instalācijas pārveidi, bet arī ar atbildību par nepareizi noteiktiem lietošanas ierobežojumiem. Praksē pirms koncepcijas apstiprināšanas ir vērts novērtēt trīs lietas: vai pēc atslēgšanas paliek enerģija, kas var izraisīt kustību, vai operators to var pārbaudīt bez aizsargu demontāžas un vai barošanas atjaunošana pati no sevis atjauno iedarbināšanas iespēju.

Tipisks piemērs ir stacija ar pneimatiskajām piedziņām, kurā par pietiekamu risinājumu ir pieņemts centrālais noslēgvārsts. Shēmā tas izskatās pareizi, taču ekspluatācijas laikā izrādās, ka daļa cilindru saglabā pozīciju, pateicoties lokāli iesprostotam spiedienam, un pēc barošanas atjaunošanas sistēma atgriežas gatavības stāvoklī ātrāk, nekā to paredz personāla darbību secība. Tad izmaksas nerodas tikai no atgaisošanas vārstu vai mehānisko bloķētāju pievienošanas. Klāt nāk pieņemšanas apturēšana, dokumentācijas aktualizēšana, atkārtota vadības loģikas pārbaude un dažkārt arī instrukciju un apmācību maiņa. Tas ir tieši tas brīdis, kad jautājums no vienkāršas atslēgšanas elementa izvēles pāriet praktiskas riska novērtēšanas saskaņā ar ISO 12100 jomā: jāņem vērā reālās darbības, paredzamās cilvēka kļūdas un piekļuves veids bīstamajai zonai. Hidrauliskajās sistēmās papildus rodas jautājums, vai enerģijas izkliede nepasliktina slodzes stabilitāti; tad projektēšanas lēmums jāvērtē kopā ar prasībām drošai vadībai un spiediena uzturēšanai sistēmā.

Tikai šajā posmā atsauce uz ISO 14118 sakārto lēmumu pieņemšanu, bet to neaizstāj. Standarts norāda virzienu: novērst negaidītu iedarbināšanu ar pareizu enerģijas atslēgšanu, izkliedi vai kontroli, kā arī ar organizatoriskiem un tehniskiem pasākumiem, kas ir atbilstoši paredzētajām iejaukšanās darbībām. Tomēr, ja komandā strīds ir par to, vai konkrētā darbība ir “apkalpošana pie apturētas iekārtas” vai jau iejaukšanās, kam nepieciešama pilnīga enerģijas izolēšana, tas ir signāls, ka jāatgriežas pie praksē izmantotās bīstamību identificēšanas saskaņā ar ISO 12100 un riska novērtēšanas metodikas, nevis jāmeklē atbilde tikai shēmā. Savukārt, ja risinājums balstās uz aizsarga atvēršanu un piekļuves bloķēšanu, ātri parādās otra problēma: vai konstrukcija neprovocē aizsardzības apiešanu, jo atslēgšanas procedūra ir pārāk lēna vai pārāk apgrūtinoša. Tad tēma dabiski pāriet arī uz aizsardzības līdzekļu apiešanas ierobežošanu. Projekta vadītājam svarīgākais lēmuma kritērijs tāpēc nav “kādu aparātu izmantot”, bet gan “vai izvēlētais atslēgšanas veids nodrošina atkārtojamu, pārbaudāmu drošu stāvokli konkrētai darbībai un konkrētai piekļuvei”. Ja atbilde nav viennozīmīga, izmaksas pieaugs vēlāk, parasti mazāk kontrolējamā projekta brīdī.

Kā šai tēmai pieiet praksē

Praksē aizsardzības pret negaidītu iedarbināšanu tēma nesākas ar atdalītāja, vārsta vai apturēšanas procedūras izvēli, bet gan ar skaidru lēmumu par to, kādas iejaukšanās darbības uz iekārtas patiesībā tiks veiktas un kādā tehniskajā stāvoklī tai tajā brīdī jāatrodas. Šis lēmums tieši ietekmē sistēmas arhitektūru, dokumentācijas apjomu, palaišanas laiku un ražotāja vai integratora atbildību. Ja projekta komanda pieņem pārāk maigu pieņēmumu un servisa darbību uzskata par parastu apkalpošanu apturētas iekārtas stāvoklī, risks atgriezīsies pie pieņemšanas, validācijas vai jau pēc iekārtas nodošanas ekspluatācijā. Savukārt, ja pieņēmums būs pārmērīgi stingrs, izmaksas pieaugs sarežģītāku atslēgšanas sistēmu, papildu aparātu, lielākas secību sarežģītības un zemākas tehniskās pieejamības dēļ. Tāpēc praktiskajam lēmuma kritērijam jābūt vienam: vai konkrētajai darbībai ir iespējams panākt un apstiprināt drošu stāvokli, kas novērš neparedzētas kustības iespēju un nekontrolētu enerģijas atbrīvošanos.

Tas nozīmē, ka vadītājam vai produkta īpašniekam no komandas jāpieprasa darbību apraksts nevis iekārtas funkciju valodā, bet piekļuves un enerģijas valodā. Ir jāzina, kurš ieiet zonā, kam pieskaras, kādus aizsargus atver, kuras piedziņas var veikt atlikušo kustību, kur saglabājas spiediens, gravitācijas balsts vai elastīgajos elementos uzkrātā enerģija. Tikai uz šī pamata var noteikt, vai pietiek ar viena nesēja atslēgšanu vai arī nepieciešama vairāku avotu izolēšana kopā ar enerģijas izkliedēšanu un aizsardzību pret atkārtotu ieslēgšanu. Šajā brīdī tēma dabiski pāriet uz praktisku riska novērtējumu saskaņā ar ISO 12100: ja strīds ir par robežu starp “apturēšanu iejaukšanās veikšanai” un “darbu, kam nepieciešama pilnīga izolācija”, tad tā vairs nav izpildmehānisma problēma, bet gan bīstamības klasifikācijas, paredzamās lietošanas un kļūdaini pieņemtas lietotāja rīcības jautājums.

Labs piemērs ir darba vieta ar elektrisko piedziņu un pneimatiskajiem cilindriem, kur operators periodiski sniedzas iekšā, lai novērstu materiāla iesprūšanu. Formāli iekārta var būt apturēta, taču tas vēl nenozīmē, ka iejaukšanās ir droša. Ja pēc apturēšanas saglabājas spiediens, kas var pārvietot darba elementu, vai piedziņu automatizācija var atkārtoti aktivizēt, tad ar pašu komandu “stop” problēma netiek atrisināta. Projektēšanas lēmumam šādā gadījumā jāatbild ne tikai uz jautājumu, kā atslēgt enerģiju, bet arī kā lietotājs atpazīs, ka drošais stāvoklis patiešām ir sasniegts un tiek uzturēts. Ja nepieciešamā procedūra ir gara, neērta vai neskaidra, pieaug risks apiet aizsardzības līdzekļus, un līdz ar to rodas papildu konstrukcijas problēma, kas saistīta ar uzņēmību pret apiešanu. Tas parasti izmaksā vairāk nekā pareiza situācijas izvērtēšana sākumā, jo vēlākie labojumi jau skar nevis vienu atsevišķu aparātu, bet vadības loģiku, aizsargus, instrukciju un validāciju.

• vai atslēgšana aptver visus enerģijas veidus, kas var izraisīt kustību vai bīstamības atbrīvošanos,
• vai drošais stāvoklis ir redzams vai citādi nepārprotami pārbaudāms,
• vai atkārtotai ieslēgšanai ir nepieciešama apzināta darbība un tā nenotiks automātiski pēc barošanas atjaunošanas.

Tikai pēc šādas sakārtošanas ir vērts pāriet pie normatīvajām atsaucēm. Ja aizsardzības pasākums balstās uz funkcijas izpildi ar vadības sistēmas palīdzību, nevis tikai ar mehānisku enerģijas izolēšanu, jautājums pāriet drošības funkciju un to uzticamības prasību jomā. Savukārt, ja izšķiroši kļūst noteikt, vai konkrētajai iejaukšanās darbībai ir nepieciešama pilnīga atslēgšana vai ir pieļaujama cita aizsardzības metode, ir jāatgriežas pie metodiskas bīstamību identificēšanas saskaņā ar ISO 12100. Projektēšanas praksē tās nav atsevišķas pasaules, bet vienas un tās pašas lēmumu pieņemšanas secīgas kārtas. ISO 14118 sakārto domāšanas veidu par atslēgšanu un negaidītas iedarbināšanas novēršanu, taču neatbrīvo komandu no pienākuma pierādīt, ka risinājums ir atbilstošs paredzētajai darbībai, noturīgs pret tipiskām apiešanas metodēm un to var validēt, neatstājot atbildības “pelēkās zonas”.

Kam pievērst uzmanību ieviešanas laikā

Visbiežākā kļūda, ieviešot aizsardzību pret negaidītu iedarbināšanu, ir tā, ka komanda enerģijas atslēgšanu uztver kā vienkāršu aparāta izvēli, lai gan patiesībā tas ir lēmums par ekspluatācijas, apkopes un projektēšanas atbildības robežām. Ja risinājumā nav nepārprotami noteikts, kurš, kad un kādā mašīnas stāvoklī drīkst ieiet bīstamajā zonā, tad pat tehniski korekta atslēgšanas shēma risku nenovērš. Projektam tas parasti nozīmē dārgas sekas: novēlotas dokumentācijas korekcijas, sadalņu papildu aprīkošanu, izmaiņas vadības loģikā un beigās strīdu par to, vai ražotājs ir paredzējis pareizu iejaukšanās veidu. Praktiskais vērtēšanas kritērijs šeit ir vienkāršs: pirms risinājuma apstiprināšanas jāspēj pierādīt attiecībā uz katru paredzēto darbību, vai atslēgšana patiešām novērš kustības rašanās iespēju, enerģijas atbrīvošanos vai darbības atjaunošanos bez apzinātas cilvēka rīcības.

Projektēšanas posmā īpaši bīstami ir “gandrīz pietiekami” risinājumi, proti, tādi, kas atslēdz galveno barošanu, bet atstāj palīgenerģijas avotus, uzkrāto enerģiju vai ārēji izraisītas kustības iespēju. Praksē tas attiecas uz pneimatiskajām sistēmām ar atlikušo spiedienu, vertikālām asīm, ko notur bremze, elementiem ar inerci, uzturēšanas ķēdēm un piedziņām, kas pēc barošanas atjaunošanas atgriežas automātiskajā secībā. Ja šīs parādības netiek atpazītas sākumā, izmaksas neparādās tikai papildu komponentu iegādē. Pieaug arī palaišanas un validācijas izmaksas, jo komandai ir jāpierāda tāda risinājuma drošums, kura arhitektūra jau sākotnēji neaptvēra visus robežstāvokļus. Labs lēmuma pieņemšanas mērs šeit nav izmantoto atslēdzēju skaits, bet gan enerģijas veidu un darba režīmu skaits, kuriem komanda spēj aprakstīt ceļu uz drošu stāvokli un veidu, kā apstiprināt, ka šis stāvoklis ir sasniegts.

Labs praktiska slazda piemērs ir servisa iejaukšanās, kas formāli neprasa ieiet “dziļi” mašīnā, bet liek atvērt aizsargu un sniegties zonā, kur joprojām pastāv palīgpiedziņa vai kustība, kas izriet no vadības secības. Šādos gadījumos lēmums tikai par enerģijas atslēgšanu ātri pāriet divās blakus jomās. Pirmkārt, ir jāatgriežas pie metodiskas konkrētās darbības riska novērtēšanas, jo tieši tā nosaka, vai ir nepieciešama pilnīga visu enerģiju izolēšana vai arī var pamatot līdzvērtīgu aizsardzības pasākumu. Otrkārt, ja operatori vai apkopes personāls regulāri apies paredzēto procedūru, problēma vairs nav tikai ISO 14118 jautājums, bet nonāk aizsargierīču apiešanas un manipulāciju novēršanas jomā. Tas ir svarīgi no atbildības viedokļa: risinājums, kas darbojas tikai tad, ja lietotājs rīkojas veidā, kas reālā ekspluatācijā ir maz ticams, ir vājš nevis tāpēc, ka tas “uz papīra” neatbilst prasībām, bet tāpēc, ka projektā nav ņemta vērā paredzama cilvēku rīcība.

Tieši tāpēc atsauce uz ISO 14118 būtu jāizmanto beigās kā lēmuma strukturēšanai, nevis kā analīzes aizstājējs. Ja galvenais jautājums ir, vai konkrētā iejaukšanās prasa pilnīgu visu enerģiju atslēgšanu, pareizais turpinājums ir riska novērtēšana saskaņā ar ISO 12100, bet sarežģītākos gadījumos arī riska aplēses prakse, kas aprakstīta palīgdokumentos. Savukārt, ja problēma kļūst par risinājuma uzņēmību pret apzinātu apiešanu, dabisks papildinājums ir bloķēšanas ierīču un manipulāciju novēršanas joma. Projektēšanas komandai tas nozīmē vienu: lēmumu par atslēgšanas sistēmu drīkst apstiprināt tikai tad, kad to var pamatot vienlaikus tehniski, organizatoriski un ekspluatācijas ziņā. Pretējā gadījumā sākotnējais ietaupījums ļoti viegli pārvēršas pieņemšanas kavējumā, pārbūves izmaksās vai grūti apstrīdamā ražotāja vai integratora atbildībā.