Proteção contra o arranque inesperado (ISO 14118) – análise dos sistemas de corte de energia

Porque é que este tema é importante hoje

A proteção contra o arranque inesperado deixou de ser um detalhe de execução que se possa adiar para o fim do projeto. Na prática, a decisão sobre como cortar e dissipar a energia, e como confirmar o estado seguro durante mudanças de formato, limpeza, desobstrução e trabalhos de assistência técnica, afeta simultaneamente a segurança das pessoas, a arquitetura do sistema de comando, a forma de aceitação da máquina e a responsabilidade do fabricante ou do integrador. Se este tema for tratado apenas como uma questão do “interruptor principal” ou apenas da paragem do acionamento, o projeto acaba normalmente por regressar para reformulação: surge a necessidade de válvulas adicionais, bloqueios, pontos de isolamento, alterações nas sequências de comando e correções na documentação técnica. Estas não são alterações neutras do ponto de vista dos custos. Na maioria dos casos, significam adiamento da entrada em serviço, discussão sobre o âmbito do fornecimento e maior dificuldade em justificar as medidas de proteção adotadas durante a avaliação da conformidade.

A razão é simples: o arranque inesperado raramente resulta de um único erro. Regra geral, é consequência de um pressuposto de projeto incorreto, segundo o qual parar o movimento equivale a eliminar o perigo. Entretanto, em muitas máquinas, o problema continua a ser a energia residual, o restabelecimento automático da alimentação, a descida de elementos por efeito da gravidade, o rearranque após o reset de uma falha ou a intervenção a partir de várias fontes de comando independentes. Para a equipa de projeto, isto significa a necessidade de separar três questões que, na prática, são frequentemente confundidas: o que tem de ser parado, o que tem de ser isolado e o que tem de ser mantido em estado seguro durante todo o tempo em que a pessoa permanece na zona de perigo. É precisamente aqui que se tomam decisões que mais tarde determinam o custo de execução do quadro elétrico, da pneumática, da hidráulica, dos procedimentos de assistência e da validação.

O critério de decisão mais útil nesta fase é o seguinte: depois de uma pessoa entrar na zona de perigo, existe alguma via pela qual possa surgir um movimento perigoso sem uma ação consciente dessa pessoa e fora do seu controlo? Se a resposta não for inequivocamente negativa, a simples paragem funcional não é suficiente e é necessário analisar o corte de energia e a proteção contra o seu restabelecimento não intencional. Vale a pena avaliar isto não com base em declarações, mas em indicadores observáveis do projeto: o número de fontes de energia que exigem isolamento, o tempo necessário para atingir o estado seguro, a forma de confirmação da ausência de energia, o número de intervenções do operador realizadas fora do modo de produção e o número de locais em que o pessoal é tentado a “contornar” a proteção, porque o procedimento correto é demasiado lento ou demasiado incómodo. Este último ponto já remete naturalmente para a questão da manipulação de proteções e dos bypasses, porque um corte de energia mal concebido, muito frequentemente, não elimina o problema — apenas o transfere para a exploração diária.

Um bom exemplo é um posto com proteção móvel em que, após a abertura da proteção, o acionamento é parado, mas um cilindro vertical permanece sob pressão e o sistema, depois de a proteção ser fechada, regressa ao ciclo automático. Formalmente, o operador “não deveria” entrar mais profundamente na zona, mas, na realidade, vai retirar a peça, limpar o sensor ou corrigir a posição da garra. Se, neste cenário, não tiver sido previsto um corte e dissipação controlados da energia, bem como as condições de rearranque, o perigo não surge durante a produção normal, mas precisamente durante intervenções curtas e repetitivas. Do ponto de vista do projeto, este é o momento em que é necessário decidir se o problema é resolvido por um sistema de corte de energia corretamente concebido ou se a questão passa para o domínio dos dispositivos de interbloqueio com bloqueio e da limitação das possibilidades de contorno. Se os pressupostos de utilização não forem claros, a resposta não decorre da intuição, mas de uma avaliação do risco de acordo com a ISO 12100 realizada de forma prática, com consideração das operações reais executadas na máquina.

Só neste contexto faz sentido interpretar os requisitos da ISO 14118. A norma não substitui a análise de risco nem fornece um esquema universal de corte de energia; o que faz é estruturar a forma de pensar sobre a prevenção do arranque inesperado em estados previsíveis de funcionamento e de intervenção. Na prática, deve ser lida em conjunto com a avaliação de risco realizada de acordo com a abordagem aplicada na ISO/TR 14121-2 e, quando surge a questão das proteções e dos interbloqueios, com os requisitos relativos à limitação da manipulação. Isto também tem relevância em termos de responsabilidade: se a máquina for fornecida como conjunto, linha ou máquina incompleta prevista para integração, os limites de responsabilidade pelas funções de corte de energia têm de ser descritos com precisão suficiente para que não surja uma lacuna entre fornecedores. É precisamente por isso que este tema exige decisões agora, e não depois da montagem: acrescentar tardiamente um “corte seguro” a um conceito já fechado quase sempre custa mais do que defini-lo corretamente desde o início.

Onde é que o custo ou o risco mais frequentemente aumentam

Nos projetos relacionados com a proteção contra o arranque inesperado, o custo raramente aumenta porque alguém “acrescentou segurança a mais”. Muito mais frequentemente, o problema começa com uma pergunta mal formulada: é necessário isolar a energia, que fontes de energia têm realmente de ser dissipadas, quem executa a operação e em que estado a máquina deve permanecer após a intervenção. Se estes pressupostos não estiverem claramente definidos, a equipa concebe uma solução aparentemente simples e depois tem de voltar a ela após os ensaios de aceitação, na sequência de observações do utilizador ou da análise de um cenário de acidente. É então que surgem as correções mais dispendiosas: alteração da arquitetura de controlo, reformulação da pneumática ou da hidráulica, reequipamento dos armários, novos procedimentos e nova clarificação de responsabilidades entre o fornecedor da máquina, o integrador e o utilizador final. Aqui, o critério prático de avaliação é inequívoco: se a equipa não consegue descrever qual o estado energético da máquina exigido para uma determinada operação de intervenção, então a decisão sobre a forma de isolamento da energia ainda é prematura.

A segunda fonte de custo é confundir o isolamento da energia com a simples paragem do movimento. Este erro é particularmente frequente onde existe mais do que um meio ou energia armazenada: pressão residual, queda de elementos por ação da gravidade, movimento por inércia, molas, acumuladores hidráulicos, acionamentos que mantêm a posição. Nestes sistemas, “desligar” não significa necessariamente um estado seguro para a pessoa que executa a mudança de formato, a limpeza ou a remoção de encravamentos. A consequência ao nível do projeto é simples: se a função de isolamento não incluir a dissipação da energia residual ou a manutenção controlada de um estado seguro, é preciso contar não só com a alteração da instalação, mas também com a responsabilidade por limitações de utilização incorretamente definidas. Na prática, antes de aprovar o conceito, vale a pena avaliar três aspetos: se após o isolamento permanece energia capaz de provocar movimento, se o operador o pode verificar sem desmontar proteções e se o restabelecimento da alimentação repõe automaticamente a possibilidade de arranque.

Um exemplo típico diz respeito a uma estação com acionamentos pneumáticos em que se assumiu que uma válvula central de corte seria uma solução suficiente. No esquema, isso parece correto, mas durante a exploração verifica-se que parte dos cilindros mantém a posição graças à pressão retida localmente e que, após o restabelecimento da alimentação, o sistema regressa ao estado de prontidão mais depressa do que a sequência de operações do pessoal prevê. Nessa altura, o custo não resulta apenas da instalação adicional de válvulas de descarga ou de bloqueios mecânicos. Soma-se a suspensão da aceitação, a atualização da documentação, a nova verificação da lógica de controlo e, por vezes, também a alteração das instruções e da formação. É precisamente neste momento que o tema deixa de ser uma simples seleção de um dispositivo de corte e passa para o domínio da identificação de perigos de acordo com a norma ISO 12100: é necessário considerar as operações reais, os erros humanos previsíveis e a forma de acesso à zona perigosa. Nos sistemas hidráulicos surge ainda a questão de saber se a dissipação da energia não compromete a estabilidade da carga; nesse caso, a decisão de projeto tem de ser lida em conjunto com os requisitos para a condução segura e a manutenção da pressão no sistema.

Só nesta fase a referência à ISO 14118 ajuda a estruturar a decisão, mas não a substitui. A norma indica a direção: prevenir o arranque inesperado através do correto isolamento, dissipação ou controlo da energia, bem como por meio de medidas organizacionais e técnicas adequadas às intervenções previsíveis. No entanto, se a divergência na equipa estiver em saber se uma determinada operação é “trabalho com a máquina parada” ou já uma intervenção que exige isolamento total da energia, isso é um sinal de que é preciso regressar à metodologia de avaliação do risco aplicada na prática, e não procurar a resposta apenas no esquema. Por outro lado, quando a solução assenta na abertura de uma proteção e no bloqueio de acesso, surge rapidamente um segundo problema: saber se a conceção não incentiva à neutralização da proteção, porque o procedimento de isolamento é demasiado lento ou demasiado incómodo. Nessa altura, o tema passa naturalmente também para a limitação da manipulação das proteções. Para o gestor de projeto, o critério de decisão mais importante não é, portanto, “que aparelho aplicar”, mas sim “se a forma de isolamento escolhida proporciona um estado seguro repetível e verificável para uma operação concreta e um acesso concreto”. Se a resposta não for inequívoca, o custo aumentará mais tarde, normalmente numa fase menos controlada do projeto.

Como abordar o tema na prática

Na prática, a questão da proteção contra o arranque inesperado não começa pela escolha do seccionador, da válvula ou do procedimento de paragem, mas sim por organizar a decisão sobre que intervenções serão efetivamente realizadas na máquina e em que estado técnico ela deverá encontrar-se nesse momento. Esta definição tem impacto direto na arquitetura do sistema, no âmbito da documentação, no tempo de colocação em serviço e na responsabilidade do fabricante ou do integrador. Se a equipa de projeto adotar um pressuposto demasiado permissivo e tratar uma operação de manutenção como uma simples intervenção com a máquina parada, o risco voltará a surgir na receção, na validação ou já depois da entrada da máquina em exploração. Se, pelo contrário, o pressuposto for excessivamente restritivo, o custo aumentará devido à expansão dos circuitos de corte, à necessidade de aparelhos adicionais, à maior complexidade das sequências e à redução da disponibilidade técnica. Por isso, o critério prático de decisão deve ser um só: para uma determinada intervenção, é possível atingir e confirmar um estado seguro que elimine a possibilidade de movimento não intencional e de libertação descontrolada de energia.

Isto significa que o gestor ou o proprietário do produto deve exigir à equipa uma descrição das intervenções não na linguagem das funções da máquina, mas na linguagem do acesso e da energia. É necessário saber quem entra na zona, em que toca, que proteções abre, que acionamentos podem gerar movimento residual, onde permanece pressão, apoio gravítico ou energia acumulada em elementos elásticos. Só com base nisso é possível decidir se basta cortar um único meio ou se é necessário isolar várias fontes, com dissipação da energia e proteção contra o religamento. Neste ponto, o tema passa naturalmente para a avaliação do risco de acordo com a ISO 12100: se a discussão incide sobre o limite entre “paragem para intervenção” e “trabalho que exige isolamento total”, então já não se trata de um problema do aparelho de atuação, mas sim da classificação do perigo, da utilização previsível e de pressupostos incorretos sobre o comportamento do utilizador.

Um bom exemplo é um posto com acionamento elétrico e cilindros pneumáticos, ao qual o operador acede periodicamente para remover material encravado. Formalmente, a máquina pode estar parada, mas isso, por si só, ainda não determina a segurança da intervenção. Se, após a paragem, permanecer pressão capaz de deslocar um elemento de trabalho, ou se o acionamento puder ser reativado pela automação, a simples ordem de “stop” não resolve o problema. A decisão de projeto deve então responder não só à questão de como cortar a energia, mas também de como o utilizador reconhecerá que o estado seguro foi realmente alcançado e mantido. Se o procedimento exigido for longo, incómodo ou pouco claro, aumenta o risco de contornar as proteções e surge, assim, um problema adicional de conceção relacionado com a suscetibilidade à manipulação. Normalmente, isso custa mais do que identificar corretamente a situação logo no início, porque as correções posteriores já não abrangem um único aparelho, mas a lógica de controlo, as proteções, o manual de instruções e a validação.

• se o corte abrange todas as energias que possam provocar movimento ou a libertação do perigo,
• se o estado seguro é visível ou, de outro modo, inequivocamente verificável,
• se o novo acionamento exige uma ação consciente e não ocorrerá automaticamente após o restabelecimento da alimentação.

Só depois desta estruturação faz sentido passar às referências normativas. Quando a medida de proteção assenta na realização de uma função pelo sistema de controlo, e não exclusivamente no isolamento mecânico da energia, a questão entra no domínio dos requisitos aplicáveis às funções de segurança e à sua fiabilidade. Quando, por sua vez, o ponto decisivo é determinar se uma dada intervenção exige corte total ou se é admissível outro método de proteção, é necessário regressar à avaliação metódica do risco. Na prática de projeto, não se trata de mundos separados, mas de camadas sucessivas da mesma decisão. A ISO 14118 organiza a forma de pensar sobre o corte e a prevenção do arranque inesperado, mas não dispensa a equipa de demonstrar que a solução é adequada à intervenção prevista, resistente aos contornos típicos e passível de validação sem deixar “zonas cinzentas” de responsabilidade.

O que ter em atenção na implementação

O erro mais frequente na implementação da proteção contra o arranque inesperado é a equipa encarar o corte de energia como uma simples escolha de aparelho, quando na realidade se trata de uma decisão sobre os limites de responsabilidade operacional, de manutenção e de projeto. Se a solução não definir de forma inequívoca quem, quando e em que estado da máquina pode entrar na zona perigosa, então mesmo um sistema de corte tecnicamente correto não elimina o risco. O impacto no projeto costuma ser dispendioso: correções tardias da documentação, reequipamento de quadros elétricos, alterações na lógica de controlo e, no fim, um litígio sobre se o fabricante previu a forma correta de intervenção. O critério prático de avaliação é aqui simples: antes de aprovar a solução, é necessário conseguir demonstrar, para cada operação prevista, se o corte elimina efetivamente a possibilidade de surgir movimento, libertação de energia ou restabelecimento do funcionamento sem uma ação consciente da pessoa.

Na fase de projeto, são particularmente perigosas as soluções “quase suficientes”, ou seja, aquelas que desligam a alimentação principal, mas deixam fontes de energia auxiliares, energia acumulada ou a possibilidade de movimento provocado do exterior. Na prática, isto aplica-se a sistemas pneumáticos com pressão residual, eixos verticais mantidos por travão, elementos com inércia, circuitos de retenção e acionamentos que, após o regresso da alimentação, retomam a sequência automática. Se estes fenómenos não forem identificados logo no início, o custo não se limita à compra de componentes adicionais. Também aumentam os custos de arranque e de validação, porque a equipa tem de demonstrar a segurança de uma solução cuja arquitetura, desde o início, não abrangia todos os estados limite. Uma boa medida para a tomada de decisão não é, neste caso, o número de seccionadores aplicados, mas sim o número de energias e modos de funcionamento para os quais a equipa consegue descrever o caminho até ao estado seguro e a forma de confirmar que esse estado foi alcançado.

Um bom exemplo de armadilha prática é uma intervenção de assistência técnica que, formalmente, não exige entrar “a fundo” na máquina, mas obriga à abertura de uma proteção e a alcançar uma zona onde permanece um acionamento auxiliar ou um movimento resultante da sequência de controlo. Nestes casos, a decisão sobre o simples corte de energia rapidamente passa para duas áreas adjacentes. Em primeiro lugar, é necessário regressar à avaliação de risco de acordo com a ISO 12100 para a operação concreta, porque é ela que determina se o isolamento total da energia é necessário ou se é possível demonstrar uma medida de proteção equivalente. Em segundo lugar, se os operadores ou a manutenção contornarem regularmente o procedimento previsto, o problema deixa de ser apenas uma questão da ISO 14118 e entra no domínio da manipulação de proteções e dos contornos. Isto é importante do ponto de vista da responsabilidade: uma solução que só funciona quando o utilizador atua de uma forma pouco provável na exploração real é fraca não porque seja incompatível “no papel”, mas porque o projeto não teve em conta o comportamento previsível das pessoas.

É precisamente por isso que a referência à ISO 14118 deve surgir no fim, como forma de organizar a decisão, e não como substituto da análise. Se a questão principal for saber se uma determinada intervenção exige o corte total de todas as energias, o desenvolvimento adequado é a avaliação de risco segundo a ISO 12100 e, nos casos mais complexos, também a prática de estimativa do risco descrita em documentos de apoio. Se, por outro lado, o problema passar a ser a vulnerabilidade da solução a um contorno deliberado, o complemento natural é a área dos dispositivos de bloqueio e da prevenção da manipulação. Para a equipa de projeto, isto significa uma coisa: a decisão sobre o sistema de corte só deve ser aprovada quando puder ser sustentada simultaneamente do ponto de vista técnico, organizacional e operacional. Caso contrário, a poupança inicial transforma-se muito facilmente em atraso na receção, custo de reformulação ou responsabilidade difícil de afastar do lado do fabricante ou do integrador.