Vergrendelbare vergrendelinrichtingen volgens ISO 14119 – hoe voorkomt u manipulatie?

Manipulatie van vergrendelende interlockvoorzieningen is zelden uitsluitend het gevolg van “onjuist handelen” door de operator. Meestal vloeit dit voort uit ontwerpkeuzes waarbij geen rekening is gehouden met de werkelijke manier waarop toegang tot de gevarenzone plaatsvindt, de wachttijd tot veilig openen en de belasting van het opnieuw opstarten. Daarom is het zinvol de vraag naar conformiteit met NEN-EN-ISO 14119 breder te benaderen: niet alleen hoe een interlockvoorziening moet worden gekozen, maar ook hoe de afscherming, de stopsequentie en de toegangslogica zo moeten worden ontworpen dat het omzeilen van de beveiliging voor de gebruiker niet de eenvoudigste oplossing is.

In de praktijk betekent dit dat meerdere beslissingslagen met elkaar moeten worden verbonden. NEN-EN-ISO 14119 zelf structureert de keuze van interlockvoorzieningen en maatregelen om de kans op manipulatie te beperken, maar moet worden gelezen in samenhang met NEN-EN-ISO 14120 voor afschermingen, met de eisen voor veiligheidsfuncties volgens ISO 13849 en, waar het elektronische besturingssystemen betreft, ook in relatie tot SIL. Als er sprake is van veiligheidsafscherming, is ook ISO 13857 van belang. Maar zelfs een correcte verwijzing naar normen vervangt niet de fundamentele ontwerpbeslissing: of de gekozen werkwijze van de machine in stand kan blijven zonder druk om beveiligingen te omzeilen.

Waarom dit onderwerp vandaag relevant is

Vergrendelende interlockvoorzieningen zijn allang geen detail meer van een beweegbare afscherming dat pas aan het einde van het project wordt gekozen. In de praktijk beïnvloeden zij de machinearchitectuur, de bediening, de stoplogica en de organisatie van de toegang tot de gevarenzone. Als ze uitsluitend op formele conformiteit worden geselecteerd en niet op de werkelijke gebruiksomstandigheden, ontstaat al snel manipulatie: het overbruggen van het activerende element, het open laten staan van de afscherming, het forceren van een cyclus bij niet volledig gesloten toegang. Dat is geen nevenprobleem, maar een signaal dat het ontwerp geen rekening heeft gehouden met het voorzienbare gebruik van de machine.

De gevolgen zijn doorgaans kostbaar en worden vaak pas laat zichtbaar, wanneer wijzigingen het moeilijkst door te voeren zijn. De producteigenaar en de persoon die verantwoordelijk is voor conformiteit krijgen dan tegelijk te maken met een hoger letselrisico, het ter discussie stellen van de gekozen beschermingsmaatregelen en de noodzaak van correcties na ingebruikname. De duurste fouten ontstaan in de fase van de uitgangspunten, wanneer vergrendeling wordt behandeld als een eenvoudige cataloguskeuze in plaats van als onderdeel van de veiligheidsfunctie en de toegangsorganisatie. Het projectteam moet niet alleen antwoord geven op de vraag of de afscherming bewaakt moet worden, maar vooral ook op de volgende vragen: hoe vaak zal zij worden geopend, gaat het stoppen gepaard met uitlooptijd of restenergie, heeft de operator in de praktijk een motivatie om de cyclus te verkorten en kan die motivatie worden weggenomen door de oplossing te wijzigen.

Dat is vooral zichtbaar waar de operator regelmatig verstoppingen moet verhelpen of materiaal moet aanvullen. Als de afscherming vergrendeld blijft tot volledige stilstand, maar de ontgrendeltijd niet overeenkomt met de werkelijke procesdynamiek of de procedure voor het hervatten van het werk onevenredig belastend is, wordt het omzeilen van de beveiliging voorspelbaar. De gevolgen voor het project zijn concreet: extra mechanische aanpassingen, wijzigingen in het veiligheidscircuit, correcties in de technische documentatie en soms ook een ombouw van de aandrijf- of hydraulische installatie, wanneer de oorzaak van het probleem in de stopmethode zelf blijkt te liggen.

Pas tegen deze achtergrond is een verwijzing naar normen zinvol. NEN-EN-ISO 14119 structureert de keuze van vergrendelende interlockvoorzieningen en de aanpak om manipulatie te beperken, maar vervangt geen risicobeoordeling. De norm moet worden gelezen samen met NEN-EN-ISO 14120 voor afschermingen en met de eisen voor veiligheidsfuncties volgens ISO 13849, en met betrekking tot elektronische besturingssystemen ook met SIL. Als de toegang via veiligheidsafscherming wordt gerealiseerd, is ook ISO 13857 van belang. Vanuit praktisch oogpunt is de conclusie eenvoudig: het risico op manipulatie moet al in de ontwerpfase of bij modernisering worden beoordeeld, want na ingebruikname worden alleen nog de gevolgen van onjuiste uitgangspunten weggenomen, niet de oorzaken ervan.

Waar de kosten of het risico het vaakst toenemen

De meeste verliezen ontstaan niet door het gebruik van een vergrendelde interlock op zich, maar door de verkeerde aanname dat manipulatie kan worden uitgesloten met een “sterker” slot of een strengere besturingslogica. In de praktijk nemen kosten en risico juist toe wanneer de beveiligingsmaatregel het normale werk meer belemmert dan dat hij de mogelijkheid tot omzeilen daadwerkelijk beperkt. Het projectteam ziet dan het symptoom, niet de oorzaak: vaak openen van de afscherming, de noodzaak om het proces te kunnen volgen, cyclustijdverkorting, correcties van instellingen of het verhelpen van vastlopers. Als zulke situaties niet worden onderkend voordat het project wordt afgerond, ontstaat een typische keten van gevolgen: aanpassingen aan afschermingen, wijziging van de besturingslogica, hernieuwde validatie van veiligheidsfuncties en discussie over de vraag of de oorzaak ligt bij het ontwerp, de integratie of het gebruik.

Een tweede risicogebied is het los van elkaar nemen van mechanische en besturingstechnische beslissingen. Wanneer de ontwerper van de afscherming, de automatiseerder en de verantwoordelijke voor conformiteit onafhankelijk van elkaar werken, wordt de vergrendeling vaak te laat gekozen, nadat de geometrie van de deur, de openingsrichting, spelingen, sluitkrachten en de manier van storingsverhelping al zijn vastgelegd. Dan moet de interlock de zwakke punten van de volledige machinearchitectuur compenseren. Het gevolg is overbelasting van componenten, problemen met uitlijning, een instabiele positie van de afscherming en montagetoleranties die in de praktijk het omzeilen van de beveiliging juist in de hand werken. Als de goede werking van de vergrendeling afhangt van een zeer nauwkeurige afstelling, “voorzichtig” sluiten of van het feit dat de operator telkens langer wacht dan het proces toelaat, dan is het risico op manipulatie al in het ontwerp ingebouwd.

In de praktijk is dat goed zichtbaar bij werkplekken waar de toegang tot de gevarenzone frequent maar kort is: bij omstellen, het uitnemen van een onderdeel, het verwijderen van afval of het corrigeren van een positie. Als het ontwerp voorziet in vergrendeling totdat het gevaar is verdwenen, maar geen onderscheid maakt tussen processtop en snelle, gecontroleerde toegang voor operator of service, gaat de gebruiker op zoek naar een kortere weg. Een niet-geautoriseerd activeringselement, een afscherming die “even” niet volledig gesloten is, het blokkeren van de grendel of het omzeilen van de herstartsequentie zijn dan geen incident, maar een signaal van een verkeerde ontwerpkeuze. Bij het ontwerp en de bouw van machines moet dit daarom al vroeg worden meegenomen.

• Hoe vaak de afscherming in de normale werkcyclus wordt geopend.
• Hoe lang het duurt voordat veilig openen mogelijk is vanaf het moment van stoppen.
• Of de voorwaarden voor herstart in verhouding staan tot het type ingreep.
• Of de gebruiker een eenvoudige, technische mogelijkheid heeft om de beveiliging te omzeilen.
• Of de geometrie van de afscherming en de montagemethode een stabiele werking van de vergrendeling tijdens gebruik bevorderen.

Normen structureren de beoordeling van deze kwesties, maar nemen de beslissing niet over van de ontwerper. NEN-EN-ISO 14119 beschrijft de regels voor de keuze van interlocks en het beperken van manipulatie, maar moet worden gekoppeld aan NEN-EN-ISO 14120, terwijl veiligheidsfuncties moeten worden beoordeeld volgens de logica van ISO 13849 en in sommige gevallen ook SIL voor elektronische besturingssystemen. Als het gaat om veiligheidsafscherming, mag ISO 13857 niet buiten beschouwing blijven. Het uiteindelijke criterium blijft echter praktisch: is manipulatie nog een probleem dat moet worden beperkt, of is het al bewijs dat de voorwaarden voor veilige toegang en de stopsequentie verkeerd zijn gedefinieerd.

Hoe pak je dit in de praktijk aan

De vraag hoe manipulatie kan worden voorkomen, moet niet beginnen bij de keuze van een specifiek apparaat. Eerst moet worden vastgesteld in welke situatie de operator of de technische dienst daadwerkelijk een reden heeft om de veiligheidsfunctie te omzeilen. Als toegang tot de gevarenzone vaak nodig is, de stilstand te lang duurt of de machine na het openen van de afscherming te omslachtig weer bedrijfsklaar wordt, is manipulatie een voorspelbaar gevolg van het ontwerp. Vanuit managementperspectief betekent dit hogere opstartkosten, meer wijzigingen na oplevering en een lastigere onderbouwing van de gekozen oplossingen bij een incident of een geschil over conformiteit.

Daarom is de volgorde van beslissingen van doorslaggevend belang. Eerst moeten de toegangsscenario’s worden geordend: omstellen, het verhelpen van blokkades, reinigen, kwaliteitscontrole, diagnose en onderhoud. Pas daarna kan worden beoordeeld of de vergrendeling moet beschermen tegen toegang tot een gevaar dat na het stopcommando nog aanwezig is, of alleen de juiste werkvolgorde moet afdwingen. Deze twee doelen in één oplossing vermengen leidt al snel tot verborgen kosten: onduidelijke voorwaarden voor het vrijgeven van de vergrendeling, onnodige service-bypasses, conflicten tussen automatisering en procestechnologie en documentatie die moeilijk als samenhangend te verdedigen is.

Een praktisch voorbeeld maakt dit duidelijk. Als een afscherming enkele keren per ploeg wordt geopend om kleine storingen te verhelpen en de vergrendeling pas wordt vrijgegeven na een tijd die de operator als onnodig lang ervaart, ligt het probleem niet bij de werkdiscipline. Alleen de schakelaar vervangen door een model met een hoger coderingsniveau kan eenvoudige technische manipulatie bemoeilijken, maar neemt de oorzaak niet weg. In zo’n situatie moet worden teruggegaan naar de uitgangspunten en moet worden nagegaan of de veilige stop kan worden verkort, toegangsgebieden kunnen worden gescheiden, de resetvolgorde kan worden aangepast, een interventiemodus met gecontroleerde voorwaarden kan worden ingevoerd of het verhelpen van blokkades anders kan worden opgelost. Juist deze beslissingen verminderen de druk om afschermingen te omzeilen.

Pas na zo’n ordening kunnen normatieve verwijzingen zinvol worden toegepast. NEN-EN-ISO 14119 structureert de keuze van vergrendelingsinrichtingen, de wijze van inbouw en maatregelen om de kans op manipulatie te beperken, maar vervangt niet de beoordeling van de werkelijke manier waarop de machine wordt gebruikt. Deze norm moet worden gecombineerd met NEN-EN-ISO 14120, en de selectie en validatie van veiligheidsfuncties vereisen een verwijzing naar ISO 13849; bij elektronische besturingssystemen kan ook SIL aan de orde zijn. Wanneer de toegang betrekking heeft op een veiligheidsafscherming, is ook ISO 13857 van belang. Vanuit praktisch oogpunt is de belangrijkste conclusie: eerst moet de motivatie om te omzeilen worden weggenomen, en pas daarna moet het omzeilen zelf worden bemoeilijkt.

Waar u bij de implementatie op moet letten

De meest voorkomende fout bij de implementatie is de aanname dat een vergrendelde interlock het probleem van manipulatie vanzelf oplost. In werkelijkheid verschuift daarmee het zwaartepunt naar de manier waarop de afscherming wordt gebruikt, de ontgrendelingslogica, de inbouwgeometrie en de organisatie van interventies. Als die voorwaarden niet goed zijn uitgewerkt, blijft de gebruiker naar een snellere omweg zoeken, en betaalt het project daarvoor op het slechtst denkbare moment: tijdens de inbedrijfstelling, de oplevering of pas nadat de machine al in gebruik is genomen. Dan gaat het niet alleen om mechanische aanpassingen en wijzigingen in het besturingssysteem, maar ook om problemen bij het onderbouwen van de conformiteitsdocumentatie wanneer blijkt dat een voorzienbare omzeiling in de praktijk niet echt is beperkt.

Bijzondere voorzichtigheid is nodig wanneer de vergrendeling problemen moet compenseren waarvan de oorzaak buiten de interlock zelf ligt. Als de afscherming vaak moet worden geopend omdat het proces afstelling, het verhelpen van vastlopers of controle van de toestand van het werkstuk vereist, lost een hoger beveiligingsniveau het probleem meestal niet op. Het verhoogt eerder de kosten en vergroot de operationele spanningen. Als toegang tot de gevarenzone regelmatig nodig is binnen de normale werkcyclus, moet eerst worden nagegaan of het proces niet zó is ontworpen dat het zelf het omzeilen van de beveiliging uitlokt. In zo’n geval is de juiste vraag niet “welke vergrendeling moet worden toegepast”, maar of de toegangsfrequentie, de wachttijd en de voorwaarden voor herstart aanvaardbaar zijn vanuit het perspectief van de feitelijke bediening.

Een typisch probleem ontstaat wanneer het vrijgeven van de vergrendeling afhangt van het stilvallen van beweging of het ontladen van energie, terwijl het signaal dat openen is toegestaan instabiel is of achterloopt op het gedrag van de machine. De operator ziet dan een afscherming die “niet open wil”, terwijl de interventie vanuit zijn perspectief dringend en technisch eenvoudig is. Als bovendien geen veilige modus voor het verhelpen van storingen is voorzien, ontstaan al snel noodoplossingen: de afscherming niet volledig sluiten, de stand van het bedieningselement forceren of ingrijpen in het activeringsmechanisme. Dat is een duidelijk signaal dat de randvoorwaarden van de implementatie verkeerd zijn beoordeeld.

Tijdens de inbedrijfstelling is het daarom zinvol niet alleen te kijken naar de formele juistheid van de veiligheidsfunctie, maar ook naar het verloop van de feitelijke exploitatie: het aantal stops waarvoor toegang tot de zone nodig is, de wachttijd tot ontgrendeling, de redenen voor interventies en het aantal wijzigingen in de logica na de opstart. Als deze signalen toenemen, bevat het project nog steeds een ingebouwd risico op manipulatie, ook wanneer het veiligheidselement zelf correct is gekozen. In zo’n situatie blijft NEN-EN-ISO 14119 het referentiepunt voor de keuze en montage van de interlock, maar die norm moet samen worden toegepast met NEN-EN-ISO 14120, met de eisen voor veiligheidsfuncties volgens ISO 13849, en in passende gevallen ook met SIL voor elektronische besturingssystemen en met ISO 13857 voor veiligheidsafschermingen. Van een volwassen implementatie is pas sprake wanneer de vergrendeling geen zwakke punten in het proces maskeert, maar een correct herkend risicoscenario daadwerkelijk afdekt.