Protecție împotriva pornirii neașteptate (ISO 14118) – analiza sistemelor de izolare a energiei

De ce acest subiect este important astăzi

Protecția împotriva pornirii neașteptate nu mai este astăzi un detaliu de execuție care poate fi lăsat la finalul proiectului. În practică, decizia privind modul de întrerupere și disipare a energiei, precum și modul de confirmare a stării sigure în timpul reglajelor, curățării, eliminării blocajelor și lucrărilor de service influențează simultan siguranța oamenilor, arhitectura sistemului de comandă, modul de recepție a mașinii și responsabilitatea producătorului sau a integratorului. Dacă acest subiect este tratat exclusiv ca o chestiune de „întrerupător principal” sau doar de oprire a acționării, proiectul ajunge de regulă să fie refăcut: apare necesitatea unor supape suplimentare, interblocări, puncte de izolare, modificări în secvențele de comandă și corecții în documentația tehnică. Acestea nu sunt modificări neutre din punct de vedere al costurilor. Cel mai adesea înseamnă amânarea termenului de punere în funcțiune, dispute privind domeniul livrării și o justificare mai dificilă a măsurilor de protecție adoptate în timpul evaluării conformității.

Motivul este simplu: pornirea neașteptată rareori rezultă dintr-o singură eroare. De obicei, este consecința unei ipoteze greșite de proiectare, și anume că oprirea mișcării este echivalentă cu eliminarea pericolului. În realitate, la multe mașini problema rămâne energia reziduală, revenirea automată a alimentării, coborârea elementelor sub efectul gravitației, repornirea după resetarea unei erori sau intervenția din mai multe surse independente de comandă. Pentru echipa de proiectare, acest lucru înseamnă necesitatea de a separa trei întrebări care, în practică, sunt adesea confundate: ce trebuie oprit, ce trebuie izolat și ce trebuie menținut în stare sigură pe toată durata prezenței omului în zona de pericol. Tocmai aici se iau deciziile care ulterior determină costul execuției tabloului electric, al pneumaticii, al hidraulicii, al procedurilor de service și al validării.

Cel mai util criteriu de decizie în această etapă este următorul: după intrarea unei persoane în zona de pericol, există vreo cale prin care poate apărea o mișcare periculoasă fără acțiunea sa conștientă și în afara controlului său? Dacă răspunsul nu este în mod clar negativ, simpla oprire funcțională nu este suficientă și trebuie analizate întreruperea energiei și protecția împotriva restabilirii ei neintenționate. Merită ca această evaluare să se bazeze nu pe declarații, ci pe indicatori observabili ai proiectului: numărul surselor de energie care necesită izolare, timpul necesar pentru atingerea stării sigure, modul de confirmare a dispariției energiei, numărul intervențiilor operatorului efectuate în afara modului de producție și numărul locurilor în care personalul este tentat să „ocolească” protecția, deoarece procedura corectă este prea lentă sau prea împovărătoare. Acest ultim aspect reprezintă deja o legătură firească cu problema manipulării dispozitivelor de protecție și a ocolirilor, deoarece o întrerupere a energiei aleasă greșit foarte des nu elimină problema, ci doar o mută în exploatarea de zi cu zi.

Un exemplu bun este un post de lucru cu protecție mobilă, în care, după deschiderea protecției, acționarea este oprită, dar cilindrul vertical rămâne sub presiune, iar sistemul revine la ciclul automat după închiderea protecției. Formal, operatorul „nu ar trebui” să pătrundă mai adânc în zonă, însă în realitate va scoate piesa, va curăța senzorul sau va corecta poziția dispozitivului de prindere. Dacă într-un astfel de scenariu nu au fost prevăzute întreruperea și disiparea controlată a energiei, precum și condițiile de repornire, atunci pericolul nu apare în timpul producției normale, ci tocmai în timpul intervențiilor scurte și repetitive. Din perspectiva proiectului, acesta este momentul în care trebuie decis dacă problema este rezolvată printr-un sistem de întrerupere a energiei proiectat corect sau dacă subiectul intră în zona dispozitivelor de interblocare cu blocare și a limitării posibilităților de ocolire. Dacă ipotezele de utilizare sunt neclare, răspunsul nu rezultă din intuiție, ci dintr-o evaluare a riscului realizată riguros, într-un mod practic, cu luarea în considerare a activităților reale efectuate la mașină.

Abia în acest context cerințele ISO 14118 pot fi înțelese corect. Standardul nu înlocuiește analiza de risc și nu oferă o singură schemă universală de întrerupere a energiei; în schimb, structurează modul de gândire privind prevenirea pornirii neașteptate în stări de funcționare și intervenție previzibile. În practică, el trebuie citit împreună cu evaluarea riscului realizată conform abordării utilizate în ISO/TR 14121-2 și, atunci când apare subiectul protecțiilor și al interblocărilor, cu cerințele privind limitarea manipulării. Acest lucru are importanță și din perspectiva responsabilității: dacă mașina este livrată ca ansamblu, linie sau mașină incompletă destinată integrării, limitele responsabilității pentru funcțiile de întrerupere a energiei trebuie descrise suficient de precis, astfel încât să nu apară un gol între furnizori. Tocmai de aceea acest subiect necesită o decizie acum, nu după montaj: adăugarea târzie a unei „întreruperi sigure” la un concept deja finalizat costă aproape întotdeauna mai mult decât definirea corectă a acesteia de la început.

Unde cresc cel mai des costul sau riscul

În proiectele privind protecția împotriva pornirii neașteptate, costurile cresc rareori pentru că cineva „a adăugat prea multă siguranță”. Mult mai des, problema pornește de la o întrebare formulată greșit încă de la început: dacă este necesară izolarea energiei, care surse de energie trebuie într-adevăr disipate, cine execută intervenția și în ce stare trebuie să rămână mașina după aceasta. Dacă aceste premise nu sunt definite suficient, echipa proiectează o soluție aparent simplă, iar apoi revine asupra ei după testele de recepție, după observațiile utilizatorului sau după analiza unui scenariu de accident. Atunci apar cele mai costisitoare corecții: modificarea arhitecturii de comandă, refacerea instalației pneumatice sau hidraulice, echiparea suplimentară a tablourilor, proceduri noi și renegocierea responsabilităților între furnizorul mașinii, integrator și utilizatorul final. Criteriul practic de evaluare este aici clar: dacă echipa nu poate descrie ce stare energetică a mașinii este necesară pentru o anumită intervenție, atunci decizia privind modul de izolare a energiei este încă prematură.

A doua sursă de cost este confundarea izolării energiei cu simpla oprire a mișcării. Este o eroare deosebit de frecventă acolo unde există mai mult de un mediu sau energie stocată: presiune reziduală, căderea elementelor sub acțiunea gravitației, mișcare inerțială, arcuri, acumulatoare hidraulice, acționări care mențin poziția. În astfel de sisteme, „oprirea” nu înseamnă neapărat o stare sigură pentru persoana care efectuează reglarea, curățarea sau deblocarea. Consecința de proiectare este simplă: dacă funcția de izolare nu include disiparea energiei reziduale sau menținerea controlată a unei stări sigure, trebuie luate în calcul nu doar modificări ale instalației, ci și răspunderea pentru definirea incorectă a limitărilor de utilizare. În practică, merită evaluate trei aspecte înainte de aprobarea conceptului: dacă după izolare rămâne energie capabilă să producă mișcare, dacă operatorul poate verifica acest lucru fără demontarea protecțiilor și dacă restabilirea alimentării reface automat posibilitatea de pornire.

Un exemplu tipic este o stație cu acționări pneumatice, în care s-a considerat că o supapă centrală de izolare este o soluție suficientă. Pe schemă, totul pare corect, dar în exploatare se constată că o parte dintre cilindri își mențin poziția datorită presiunii captive local, iar după realimentare sistemul revine în starea de pregătire mai repede decât prevede secvența de operații a personalului. În acel moment, costul nu rezultă doar din adăugarea unor supape de evacuare sau a unor blocări mecanice. Se adaugă oprirea recepției, actualizarea documentației, reverificarea logicii de comandă și, uneori, modificarea instrucțiunilor și a instruirii. Acesta este exact momentul în care subiectul trece de la simpla alegere a unui element de izolare în zona evaluării riscului conform ISO 12100: trebuie raportat la activitățile reale, la erorile umane previzibile și la modul de acces în zona periculoasă. În sistemele hidraulice apare în plus întrebarea dacă disiparea energiei nu afectează stabilitatea sarcinii; în acest caz, decizia de proiectare trebuie analizată împreună cu cerințele privind ghidarea sigură și menținerea presiunii în sistem.

Abia în această etapă raportarea la ISO 14118 pune ordine în decizie, dar nu o înlocuiește. Standardul indică direcția: prevenirea pornirii neașteptate prin izolarea, disiparea sau controlul adecvat al energiei, precum și prin măsuri organizatorice și tehnice adecvate intervențiilor previzibile. Dacă însă disputa din echipă privește faptul dacă o anumită activitate este „operare cu mașina oprită” sau deja o intervenție care necesită izolarea completă a energiei, acesta este un semnal că trebuie revenit la metodologia de identificare a pericolelor conform ISO 12100 și la evaluarea riscului aplicată în practică, nu căutat răspunsul doar în schemă. La rândul său, atunci când soluția se bazează pe deschiderea unei protecții și pe blocarea accesului, apare rapid o a doua problemă: dacă proiectarea nu încurajează ocolirea măsurii de protecție, pentru că procedura de izolare este prea lentă sau prea incomodă. Atunci subiectul trece în mod firesc și în zona limitării manipulării dispozitivelor de protecție. Pentru managerul de proiect, cel mai important criteriu de decizie nu este, așadar, „ce aparat să folosim”, ci „dacă metoda de izolare aleasă oferă o stare sigură repetabilă și verificabilă pentru activitatea concretă și pentru accesul concret”. Dacă răspunsul nu este clar, costul va crește mai târziu, de regulă într-un moment mai puțin controlat al proiectului.

Cum să abordați subiectul în practică

În practică, problema protecției împotriva pornirii neașteptate nu începe cu alegerea unui separator, a unei supape sau a unei proceduri de scoatere din funcțiune, ci cu clarificarea deciziei privind intervențiile care vor fi efectiv realizate asupra mașinii și starea tehnică în care aceasta trebuie să se afle în acel moment. Această decizie influențează direct arhitectura sistemului, domeniul documentației, durata punerii în funcțiune și responsabilitatea producătorului sau a integratorului. Dacă echipa de proiect pornește de la o premisă prea permisivă și tratează o operațiune de service ca pe o activitate obișnuită efectuată cu mașina oprită, riscul va reapărea la recepție, la validare sau chiar după predarea mașinii în exploatare. Dacă, dimpotrivă, premisa este excesiv de restrictivă, costul va crește din cauza extinderii circuitelor de izolare, a aparatelor suplimentare, a unei complexități mai mari a secvențelor și a scăderii disponibilității tehnice. De aceea, criteriul practic al deciziei ar trebui să fie unul singur: dacă pentru activitatea respectivă se poate obține și confirma o stare sigură, care elimină posibilitatea mișcării neintenționate și a eliberării necontrolate de energie.

Aceasta înseamnă că managerul sau proprietarul produsului ar trebui să impună echipei descrierea activităților nu în limbajul funcțiilor mașinii, ci în limbajul accesului și al energiei. Trebuie să se știe cine intră în zonă, ce atinge, ce protecții deschide, care acționări pot produce o mișcare reziduală, unde rămâne presiune, sprijin gravitațional sau energie acumulată în elemente elastice. Numai pe această bază se poate decide dacă este suficientă izolarea unui singur mediu sau dacă este necesară izolarea mai multor surse, împreună cu disiparea energiei și protecția împotriva reconectării. În acest punct, subiectul trece firesc în zona evaluării riscului conform ISO 12100: dacă disputa privește limita dintre „oprirea pentru intervenție” și „lucrarea care necesită izolare completă”, atunci nu mai este vorba despre un aparat de execuție, ci despre clasificarea pericolului, utilizarea previzibilă și comportamentele utilizatorului presupuse în mod eronat.

Un exemplu bun este un post de lucru cu acționare electrică și cilindri pneumatici, la care operatorul intervine periodic pentru a elimina blocarea materialului. Formal, mașina poate fi oprită, dar acest lucru nu înseamnă automat că intervenția este sigură. Dacă după oprire rămâne presiune capabilă să deplaseze un element de lucru sau dacă acționarea poate fi reactivată de sistemul de automatizare, simpla comandă „stop” nu rezolvă problema. Decizia de proiectare ar trebui atunci să răspundă nu doar la întrebarea cum se izolează energia, ci și cum va recunoaște utilizatorul că starea sigură a fost într-adevăr atinsă și menținută. Dacă procedura cerută este lungă, incomodă sau neclară, crește riscul de ocolire a măsurilor de protecție, ceea ce generează o problemă suplimentară de proiectare legată de vulnerabilitatea la manipulare. De regulă, acest lucru costă mai mult decât identificarea corectă a situației de la început, deoarece corecțiile ulterioare nu mai vizează un singur aparat, ci logica de comandă, protecțiile, instrucțiunea și validarea.

• dacă izolarea include toate formele de energie care pot provoca mișcare sau eliberarea unui pericol,
• dacă starea sigură este vizibilă sau poate fi verificată în alt mod, în mod clar și neechivoc,
• dacă reconectarea necesită o acțiune conștientă și nu se produce automat după restabilirea alimentării.

Abia după o astfel de clarificare merită să se treacă la referințele normative. Atunci când măsura de protecție constă în realizarea unei funcții prin sistemul de comandă, și nu exclusiv prin izolarea mecanică a energiei, problema intră în domeniul cerințelor pentru funcțiile de siguranță și fiabilitatea acestora. În schimb, atunci când devine esențial să se stabilească dacă o anumită intervenție necesită izolare completă sau dacă este admisibilă o altă metodă de protecție, este necesară revenirea la identificarea pericolelor conform ISO 12100 și la evaluarea metodică a riscului. În practica de proiectare, acestea nu sunt lumi separate, ci straturi succesive ale aceleiași decizii. ISO 14118 structurează modul de gândire privind izolarea și prevenirea pornirii neașteptate, dar nu exonerează echipa de obligația de a demonstra că soluția este adecvată pentru activitatea prevăzută, rezistentă la ocolirile tipice și poate fi validată fără a lăsa „zone gri” de responsabilitate.

La ce să fii atent la implementare

Cea mai frecventă eroare la implementarea protecției împotriva pornirii neașteptate constă în faptul că echipa tratează izolarea energiei ca pe o simplă alegere de aparat, când în realitate este o decizie privind limitele responsabilității operaționale, de mentenanță și de proiectare. Dacă soluția nu stabilește fără echivoc cine, când și în ce stare a mașinii poate intra în zona periculoasă, atunci nici măcar un sistem de izolare corect din punct de vedere tehnic nu elimină riscul. Consecințele pentru proiect sunt, de regulă, costisitoare: corecții târzii ale documentației, echiparea suplimentară a tablourilor electrice, modificări în logica de comandă, iar la final o dispută privind dacă producătorul a prevăzut modul corect de intervenție. Criteriul practic de evaluare este aici simplu: înainte de aprobarea soluției, trebuie să se poată demonstra pentru fiecare activitate prevăzută dacă izolarea elimină efectiv posibilitatea apariției mișcării, a eliberării de energie sau a repunerii în funcțiune fără o acțiune conștientă a omului.

În etapa de proiectare, deosebit de periculoase sunt soluțiile „aproape suficiente”, adică acelea care decuplează alimentarea principală, dar lasă active surse auxiliare de energie, energie stocată sau posibilitatea unei mișcări provocate din exterior. În practică, acest lucru privește sistemele pneumatice cu presiune reziduală, axele verticale menținute de frână, elementele cu inerție, circuitele de menținere și acționările care, după revenirea alimentării, reiau secvența automată. Dacă aceste fenomene nu sunt identificate de la început, costul nu apare doar la achiziția unor componente suplimentare. Cresc și costurile de punere în funcțiune și de validare, deoarece echipa trebuie să demonstreze siguranța unei soluții a cărei arhitectură nu a inclus de la bun început toate stările-limită. O măsură bună pentru luarea deciziei nu este aici numărul de separatoare utilizate, ci numărul formelor de energie și al modurilor de lucru pentru care echipa poate descrie drumul către starea sigură, precum și modul de confirmare că această stare a fost atinsă.

Un exemplu bun de capcană practică este intervenția de service care, formal, nu necesită intrarea „în profunzime” în mașină, dar impune deschiderea unui protector și introducerea mâinii într-o zonă în care rămâne activă o acționare auxiliară sau există mișcare rezultată din secvența de comandă. În astfel de cazuri, decizia privind simpla izolare a energiei se extinde rapid în două domenii învecinate. În primul rând, trebuie revenit la evaluarea riscului conform ISO 12100 pentru activitatea concretă, deoarece aceasta stabilește dacă este necesară izolarea completă a tuturor energiilor sau dacă poate fi demonstrată o măsură de protecție echivalentă. În al doilea rând, dacă operatorii sau personalul de mentenanță vor ocoli în mod regulat procedura prevăzută, problema încetează să mai fie exclusiv o chestiune de ISO 14118 și intră în zona manipulării dispozitivelor de protecție și a ocolirilor intenționate. Acest aspect este important din perspectiva responsabilității: o soluție care funcționează doar atunci când utilizatorul procedează într-un mod puțin probabil în exploatarea reală este slabă nu pentru că este neconformă „pe hârtie”, ci pentru că proiectul nu a ținut cont de comportamentul previzibil al oamenilor.

Tocmai de aceea, raportarea la ISO 14118 ar trebui să apară la final, ca o ordonare a deciziilor, nu ca un substitut pentru analiză. Dacă întrebarea-cheie este dacă o anumită intervenție necesită izolarea completă a tuturor energiilor, dezvoltarea corectă este evaluarea riscului conform ISO 12100, iar în cazurile mai complexe și practica estimării riscului descrisă în documentele auxiliare. Dacă, în schimb, problema devine vulnerabilitatea soluției la ocolire intenționată, completarea firească este domeniul dispozitivelor de interblocare și al prevenirii manipulării. Pentru echipa de proiectare, acest lucru înseamnă un singur lucru: decizia privind sistemul de izolare trebuie aprobată abia atunci când poate fi susținută simultan din punct de vedere tehnic, organizațional și operațional. În caz contrar, economia făcută la început se transformă foarte ușor într-o întârziere a recepției, într-un cost de reproiectare sau într-o responsabilitate greu de înlăturat pentru producător sau integrator.