Beveiliging tegen onverwacht opstarten (ISO 14118) – analyse van energieafschakelsystemen

Waarom dit onderwerp vandaag relevant is

Beveiliging tegen onverwacht opstarten is vandaag geen uitvoeringsdetail meer dat je tot het einde van het project kunt uitstellen. In de praktijk heeft de keuze voor de manier waarop energie wordt afgeschakeld en afgevoerd, en waarop de veilige toestand tijdens omstellingen, reiniging, het verhelpen van storingen en servicewerkzaamheden wordt bevestigd, tegelijk invloed op de veiligheid van mensen, de architectuur van het besturingssysteem, de wijze van machineacceptatie en de verantwoordelijkheid van de fabrikant of integrator. Als dit onderwerp alleen wordt benaderd als een kwestie van de “hoofdschakelaar” of louter het stoppen van de aandrijving, moet het project meestal alsnog worden aangepast: dan blijken extra ventielen, vergrendelingen, isolatiepunten, wijzigingen in de besturingssequenties en correcties in de technische documentatie nodig. Dat zijn geen kostenneutrale aanpassingen. Meestal betekenen ze uitstel van de inbedrijfstelling, discussie over de leveringsomvang en een moeilijkere onderbouwing van de gekozen beschermingsmaatregelen tijdens de conformiteitsbeoordeling.

De reden is eenvoudig: onverwacht opstarten is zelden het gevolg van één enkele fout. Meestal vloeit het voort uit een onjuiste ontwerpaanname dat het stoppen van beweging gelijkstaat aan het wegnemen van het gevaar. In veel machines blijft restenergie echter een probleem, net als het automatisch terugkeren van de voeding, het zakken van onderdelen onder invloed van de zwaartekracht, herstart na het resetten van een fout of ingrepen vanuit meerdere onafhankelijke besturingsbronnen. Voor het ontwerpteam betekent dit dat drie vragen van elkaar moeten worden gescheiden, terwijl die in de praktijk vaak door elkaar lopen: wat moet worden gestopt, wat moet worden geïsoleerd en wat moet gedurende de volledige aanwezigheid van een persoon in de gevarenzone in een veilige toestand worden gehouden. Juist hier worden beslissingen genomen die later bepalend zijn voor de kosten van de kastbouw, pneumatiek, hydrauliek, serviceprocedures en validatie.

Het meest bruikbare besliscriterium in deze fase luidt: bestaat er, nadat iemand de gevarenzone is binnengegaan, nog een weg waarlangs een gevaarlijke beweging kan ontstaan zonder zijn bewuste handeling en buiten zijn controle. Als het antwoord niet ondubbelzinnig ontkennend is, volstaat functioneel stoppen alleen niet en moet de afschakeling van energie en de beveiliging tegen onbedoeld herstel daarvan worden geanalyseerd. Het is zinvol dit niet op basis van een verklaring te beoordelen, maar aan de hand van waarneembare projectindicatoren: het aantal energiebronnen dat moet worden geïsoleerd, de tijd die nodig is om een veilige toestand te bereiken, de manier waarop het wegvallen van energie wordt bevestigd, het aantal operatoringrepen buiten de productiemodus en het aantal plaatsen waar personeel in de verleiding komt de beveiliging te “omzeilen” omdat de juiste procedure te traag of te omslachtig is. Dat laatste raakt direct aan het onderwerp manipulatie van beveiligingen en omzeilingen, omdat een verkeerd gekozen energieafschakeling het probleem heel vaak niet oplost, maar verplaatst naar de dagelijkse exploitatie.

Een goed voorbeeld is een werkstation met een beweegbare afscherming, waarbij na het openen van de afscherming de aandrijving wordt gestopt, maar een verticale cilinder onder druk blijft staan en het systeem na het sluiten van de afscherming terugkeert naar de automatische cyclus. Formeel “mag” de operator niet verder de zone in gaan, maar in werkelijkheid zal hij een onderdeel verwijderen, een sensor reinigen of de positie van een grijper corrigeren. Als in zo’n scenario geen gecontroleerde afschakeling en afvoer van energie en geen voorwaarden voor herstart zijn voorzien, ontstaat het gevaar niet tijdens de normale productie, maar juist tijdens korte, herhaalde ingrepen. Vanuit ontwerpoogpunt is dit het moment waarop moet worden beslist of het probleem wordt opgelost met een correct ontworpen systeem voor energieafschakeling, of dat de kwestie verschuift naar vergrendelingsinrichtingen met sluitbewaking en het beperken van omzeilmogelijkheden. Als de gebruiksaannames onduidelijk zijn, volgt het antwoord niet uit intuïtie, maar uit een degelijke risicobeoordeling volgens ISO 12100, uitgevoerd op een praktische manier, met aandacht voor de werkelijke handelingen die bij de machine worden uitgevoerd.

Pas tegen deze achtergrond kunnen de eisen van ISO 14118 zinvol worden geïnterpreteerd. De norm vervangt de risicobeoordeling niet en geeft ook geen universeel schema voor energieafschakeling; zij structureert wel de manier van denken over het voorkomen van onverwacht opstarten in voorzienbare bedrijfs- en interventietoestanden. In de praktijk moet zij samen worden gelezen met de risicobeoordeling volgens ISO 12100 en met de benadering die in ISO/TR 14121-2 wordt toegepast, en, wanneer afschermingen en vergrendelingen aan de orde zijn, met de eisen voor het beperken van manipulatie. Dit is ook van belang voor de verdeling van verantwoordelijkheden: als een machine wordt geleverd als samenstel, lijn of als onvoltooide machine bestemd voor integratie, moeten de grenzen van de verantwoordelijkheid voor de functies van energieafschakeling zo nauwkeurig worden beschreven dat er geen lacune tussen leveranciers ontstaat. Juist daarom vraagt dit onderwerp nu om beslissingen, en niet pas na de montage: het achteraf toevoegen van “veilige afschakeling” aan een al uitgewerkt concept kost vrijwel altijd meer dan het vanaf het begin correct definiëren ervan.

Waar de kosten of het risico het vaakst toenemen

Bij projecten rond beveiliging tegen onverwacht opstarten lopen de kosten zelden op omdat iemand “te veel veiligheid” heeft toegevoegd. Veel vaker ligt het probleem bij een verkeerd geformuleerde vraag aan het begin: moet de energie echt worden afgeschakeld, welke energiebronnen moeten daadwerkelijk worden weggenomen, wie voert de handeling uit en in welke toestand moet de machine na de ingreep achterblijven. Als deze uitgangspunten onvoldoende zijn uitgewerkt, ontwerpt het team een oplossing die ogenschijnlijk eenvoudig is, om er vervolgens na acceptatietests, na opmerkingen van de gebruiker of na analyse van een ongevalsscenario op terug te moeten komen. Dan ontstaan de duurste correcties: wijziging van de besturingsarchitectuur, ombouw van pneumatiek of hydrauliek, uitbreiding van schakelkasten, nieuwe procedures en hernieuwde afstemming van verantwoordelijkheden tussen machineleverancier, integrator en eindgebruiker. Het praktische beoordelingscriterium is hier eenduidig: als het team niet kan beschrijven welke energietoestand van de machine vereist is voor een concrete interventiehandeling, dan is de beslissing over de manier van energieafschakeling nog te vroeg.

Een tweede kostenbron is het gelijkstellen van energieafschakeling aan alleen het stoppen van beweging. Dat is een fout die vooral voorkomt waar meer dan één medium aanwezig is of waar energie is opgeslagen: restdruk, het zakken van onderdelen onder invloed van de zwaartekracht, uitloopbeweging, veren, hydraulische accumulatoren, aandrijvingen die een positie vasthouden. In zulke systemen hoeft “uitschakelen” niet te betekenen dat er een veilige toestand ontstaat voor de persoon die omstelt, reinigt of een blokkering opheft. De ontwerpconsequentie is eenvoudig: als de afschakelfunctie niet ook het wegnemen van restenergie of het gecontroleerd handhaven van een veilige toestand omvat, moet rekening worden gehouden met niet alleen aanpassing van de installatie, maar ook met aansprakelijkheid voor onjuist vastgelegde gebruiksbeperkingen. In de praktijk is het zinvol om vóór goedkeuring van het concept drie zaken te beoordelen: blijft er na afschakeling nog energie over die beweging kan veroorzaken, kan de operator dit verifiëren zonder beschermkappen te demonteren, en herstelt het terug inschakelen van de voeding vanzelf weer de mogelijkheid om te starten.

Een typisch voorbeeld is een station met pneumatische aandrijvingen, waarbij een centrale afsluiter als afdoende oplossing is aangenomen. Op het schema ziet dat er correct uit, maar tijdens gebruik blijkt dat een deel van de cilinders zijn positie behoudt door lokaal opgesloten druk, en dat het systeem na het opnieuw inschakelen sneller terugkeert naar de gereedtoestand dan de handelingen van het personeel voorzien. Dan komen de kosten niet alleen voort uit het toevoegen van ontluchtingsventielen of mechanische vergrendelingen. Daar komen stilstand van de oplevering, actualisering van de documentatie, hercontrole van de besturingslogica en soms ook aanpassing van instructies en training bij. Dat is precies het moment waarop het onderwerp verschuift van een eenvoudige keuze van een afsluitelement naar het domein van de praktische risicobeoordeling volgens ISO 12100: er moet worden gekeken naar de werkelijke handelingen, voorzienbare menselijke fouten en de manier waarop toegang tot de gevarenzone plaatsvindt. Bij hydraulische systemen komt daar nog de vraag bij of het wegnemen van energie de stabiliteit van de last niet verslechtert; in dat geval moet de ontwerpbeslissing altijd samen worden gelezen met de eisen voor het veilig geleiden en handhaven van druk in het systeem.

Pas in deze fase brengt de verwijzing naar ISO 14118 structuur in de besluitvorming, maar zij vervangt die niet. De norm geeft de richting aan: onverwacht opstarten voorkomen door juiste afschakeling, dissipatie of beheersing van energie en door organisatorische en technische maatregelen die passen bij de te verwachten interventies. Als de discussie in het team echter gaat over de vraag of een bepaalde handeling “bediening bij stilstaande machine” is of al een ingreep waarvoor volledige energie-isolatie nodig is, dan is dat een signaal dat moet worden teruggekeerd naar de in de praktijk toegepaste methodiek van risicobeoordeling en gevarenidentificatie volgens ISO 12100, en niet dat het antwoord alleen in het schema moet worden gezocht. En wanneer de oplossing berust op het openen van een afscherming en toegangsvergrendeling, duikt al snel een tweede probleem op: lokt de constructie het omzeilen van de beveiliging niet uit, omdat de afschakelprocedure te traag of te omslachtig is. Dan gaat het onderwerp vanzelf ook over het beperken van manipulatie van beveiligingen. Voor de projectleider luidt het belangrijkste beslissingscriterium daarom niet “welk apparaat moeten we toepassen”, maar “levert de gekozen manier van afschakelen een herhaalbare, verifieerbare veilige toestand op voor deze concrete handeling en deze concrete toegang”. Als het antwoord daarop niet eenduidig is, zullen de kosten later stijgen, meestal op een minder beheersbaar moment in het project.

Hoe je dit in de praktijk aanpakt

In de praktijk begint het onderwerp beveiliging tegen onverwacht opstarten niet met de keuze van een scheider, ventiel of buitenbedrijfstellingsprocedure, maar met het ordenen van de beslissing welke ingrepen daadwerkelijk aan de machine worden uitgevoerd en in welke technische toestand de machine zich dan moet bevinden. Die keuze heeft directe invloed op de architectuur van het systeem, de omvang van de documentatie, de inbedrijfstellingstijd en de verantwoordelijkheid aan de kant van de fabrikant of integrator. Als het projectteam uitgaat van een te soepele aanname en een servicehandeling behandelt als gewone bediening bij stilstand, komt het risico terug bij de afname, validatie of pas nadat de machine in gebruik is genomen. Als de aanname daarentegen te restrictief is, lopen de kosten op door uitgebreidere afschakelvoorzieningen, extra componenten, complexere sequenties en een lagere technische beschikbaarheid. Daarom zou er in de praktijk maar één beslissingscriterium moeten zijn: of voor de betreffende handeling een veilige toestand kan worden bereikt en bevestigd die de mogelijkheid van onbedoelde beweging en ongecontroleerde energievrijgave uitsluit.

Dat betekent dat de manager of producteigenaar van het team moet eisen dat handelingen niet worden beschreven in de taal van machinefuncties, maar in termen van toegang en energie. Het moet duidelijk zijn wie de gevarenzone betreedt, wat wordt aangeraakt, welke afschermingen worden geopend, welke aandrijvingen nog een restbeweging kunnen maken en waar druk, zwaartekrachtsondersteuning of opgeslagen energie in elastische elementen aanwezig blijft. Pas op basis daarvan kan worden vastgesteld of het volstaat om één medium af te schakelen, of dat meerdere bronnen moeten worden geïsoleerd, inclusief het afvoeren van energie en het beveiligen tegen opnieuw inschakelen. Op dit punt gaat het onderwerp vanzelf over in een praktische risicobeoordeling volgens ISO 12100: als de discussie gaat over de grens tussen “stop voor interventie” en “werkzaamheden die volledige isolatie vereisen”, dan is dat niet langer een kwestie van het uitvoerend apparaat, maar van de classificatie van het gevaar, het voorzienbare gebruik en onjuist verondersteld gebruikersgedrag.

Een goed voorbeeld is een werkstation met elektrische aandrijving en pneumatische cilinders, waar de operator periodiek ingrijpt om een materiaalverstopping te verhelpen. Formeel kan de machine stilstaan, maar dat betekent nog niet dat de ingreep veilig is. Als na het stoppen nog druk aanwezig is die een werkend deel kan verplaatsen, of als de aandrijving opnieuw door de automatisering kan worden geactiveerd, dan lost een enkel “stop”-commando het probleem niet op. De ontwerpbeslissing moet dan niet alleen antwoord geven op de vraag hoe de energie wordt afgeschakeld, maar ook hoe de gebruiker kan vaststellen dat de veilige toestand daadwerkelijk is bereikt en behouden blijft. Als de vereiste procedure lang, onhandig of onduidelijk is, neemt het risico toe dat beveiligingen worden omzeild, en ontstaat er dus een extra ontwerpprobleem in verband met manipuleerbaarheid. Dat kost meestal meer dan de situatie vanaf het begin goed beoordelen, omdat latere aanpassingen dan niet meer één afzonderlijk apparaat betreffen, maar de besturingslogica, afschermingen, de handleiding en de validatie.

• of de afschakeling alle energievormen omvat die beweging of het vrijkomen van gevaar kunnen veroorzaken,
• of de veilige toestand zichtbaar is of op een andere manier eenduidig kan worden geverifieerd,
• of opnieuw inschakelen een bewuste handeling vereist en niet vanzelf plaatsvindt na herstel van de voeding.

Pas na zo’n ordening is het zinvol om naar normatieve verwijzingen over te gaan. Wanneer de beschermingsmaatregel berust op het realiseren van een functie via het besturingssysteem, en niet uitsluitend via mechanische energie-isolatie, valt de kwestie binnen het gebied van eisen voor veiligheidsfuncties en hun betrouwbaarheid. Wanneer daarentegen doorslaggevend is of een bepaalde ingreep volledige afschakeling vereist of dat een andere beschermingsmethode toelaatbaar is, moet worden teruggekeerd naar een methodische risicobeoordeling en gevarenidentificatie volgens ISO 12100. In de ontwerppraktijk zijn dit geen gescheiden werelden, maar opeenvolgende lagen van dezelfde beslissing. ISO 14118 structureert de manier van denken over afschakeling en het voorkomen van onverwacht opstarten, maar ontslaat het team er niet van aan te tonen dat de oplossing passend is voor de voorziene handeling, bestand is tegen typische omzeilingen en kan worden gevalideerd zonder “grijze zones” in de verantwoordelijkheid achter te laten.

Waar u bij de implementatie op moet letten

De meest voorkomende fout bij het invoeren van een beveiliging tegen onverwacht opstarten is dat het team het afschakelen van energie behandelt als een eenvoudige keuze van een apparaat, terwijl het in werkelijkheid een beslissing is over de grenzen van de operationele, onderhouds- en ontwerpverantwoordelijkheid. Als de oplossing niet eenduidig vastlegt wie, wanneer en in welke toestand van de machine de gevarenzone mag betreden, dan neemt zelfs een technisch correct afschakelsysteem het risico niet volledig weg. Voor het project is het gevolg meestal kostbaar: late correcties in de documentatie, extra uitrusting in verdeelkasten, wijzigingen in de besturingslogica en uiteindelijk een discussie over de vraag of de fabrikant de juiste interventiewijze heeft voorzien. Het praktische beoordelingscriterium is hier eenvoudig: vóór goedkeuring van de oplossing moet voor elke voorziene handeling kunnen worden aangetoond of de afschakeling daadwerkelijk de mogelijkheid uitsluit van beweging, energievrijgave of herstel van de werking zonder bewuste menselijke handeling.

In de ontwerpfase zijn oplossingen die “bijna voldoende” zijn bijzonder riskant, dus oplossingen die de hoofdvoeding uitschakelen, maar hulpenergiebronnen, opgeslagen energie of de mogelijkheid van extern veroorzaakte beweging laten bestaan. In de praktijk gaat het om pneumatische systemen met restdruk, verticale assen die door een rem worden gehouden, elementen met traagheid, houdcircuits en aandrijvingen die na terugkeer van de voeding terugkeren naar de automatische sequentie. Als deze verschijnselen niet vanaf het begin worden onderkend, ontstaan de kosten niet alleen door de aankoop van extra componenten. Ook de kosten van inbedrijfstelling en validatie lopen op, omdat het team de veiligheid moet aantonen van een oplossing waarvan de architectuur vanaf het begin niet alle grenssituaties omvatte. Een goede maatstaf voor de besluitvorming is hier niet het aantal toegepaste scheiders, maar het aantal energievormen en bedrijfsmodi waarvoor het team de weg naar een veilige toestand kan beschrijven, evenals de manier waarop wordt bevestigd dat die toestand is bereikt.

Een goed voorbeeld van een praktische valkuil is een service-ingreep die formeel geen toegang “diep” in de machine vereist, maar wel het openen van een afscherming en reiken in een gebied afdwingt waar een hulpaandrijving of beweging als gevolg van de besturingssequentie aanwezig blijft. In zulke gevallen verschuift de beslissing over alleen het afschakelen van energie al snel naar twee aangrenzende gebieden. Ten eerste moet worden teruggekeerd naar een methodische risicobeoordeling volgens ISO 12100 voor de concrete handeling, omdat die bepaalt of volledige energie-isolatie noodzakelijk is, of dat een gelijkwaardige beschermingsmaatregel kan worden aangetoond. Ten tweede: als operators of de technische dienst de voorziene procedure regelmatig zullen omzeilen, dan is het probleem niet langer uitsluitend een kwestie van ISO 14118, maar komt het ook in het domein van manipulatie van beveiligingen en omzeilingen. Dat is belangrijk vanuit het oogpunt van verantwoordelijkheid: een oplossing die alleen werkt wanneer de gebruiker handelt op een manier die in de praktijk weinig waarschijnlijk is, is niet zwak omdat zij “op papier” niet conform is, maar omdat in het ontwerp geen rekening is gehouden met voorspelbaar menselijk gedrag.

Juist daarom zou de verwijzing naar ISO 14118 pas aan het einde moeten komen, als ordening van de beslissing en niet als vervanging van de analyse. Als de kernvraag is of een bepaalde interventie volledige afschakeling van alle energievormen vereist, dan is de juiste uitwerking een risicobeoordeling volgens ISO 12100, en in meer complexe gevallen ook de praktijk van risicoschatting zoals beschreven in ondersteunende documenten. Als daarentegen de kwetsbaarheid van de oplossing voor bewuste omzeiling het probleem wordt, dan ligt een aanvulling in het domein van vergrendelingsinrichtingen en het tegengaan van manipulatie voor de hand. Voor het ontwerpteam betekent dit één ding: de beslissing over het afschakelsysteem mag pas worden goedgekeurd wanneer zij tegelijk technisch, organisatorisch en in de praktijk van het gebruik verdedigbaar is. Anders verandert een besparing aan het begin heel gemakkelijk in vertraging bij de oplevering, kosten voor ombouw of een verantwoordelijkheid die moeilijk van de fabrikant of integrator is weg te nemen.