Ochrana pred neočakávaným spustením (ISO 14118) – analýza systémov odpojenia energie

Prečo je táto téma dnes dôležitá

Zabezpečenie proti neočakávanému spusteniu dnes nie je realizačný detail, ktorý možno nechať na koniec projektu. V praxi rozhodnutie o tom, ako odpojiť a rozptýliť energiu a ako potvrdzovať bezpečný stav počas prestavovania, čistenia, odstraňovania zaseknutí a servisných prác, súčasne ovplyvňuje bezpečnosť ľudí, architektúru riadiaceho systému, spôsob prevzatia stroja aj zodpovednosť výrobcu alebo integrátora. Ak sa táto téma zúži len na otázku „hlavného vypínača“ alebo samotného zastavenia pohonu, projekt sa zvyčajne vracia na prepracovanie: vzniká potreba doplniť ventily, blokovania, izolačné body, upraviť riadiace sekvencie a opraviť technickú dokumentáciu. To nie sú úpravy bez vplyvu na náklady. Najčastejšie znamenajú posun termínu uvedenia do prevádzky, spor o rozsah dodávky a zložitejšie odôvodnenie prijatých ochranných opatrení pri posudzovaní zhody.

Dôvod je jednoduchý: neočakávané spustenie zriedka vyplýva z jednej chyby. Zvyčajne je dôsledkom nesprávneho projektového predpokladu, že zastavenie pohybu sa rovná odstráneniu nebezpečenstva. V mnohých strojoch však problémom zostáva zvyšková energia, samovoľný návrat napájania, klesanie prvkov vplyvom gravitácie, opätovný rozbeh po zrušení poruchy alebo zásah z viacerých nezávislých zdrojov riadenia. Pre projektový tím to znamená potrebu oddeliť tri otázky, ktoré sa v praxi často zamieňajú: čo treba zastaviť, čo treba odizolovať a čo treba udržať v bezpečnom stave počas celej doby, keď sa človek nachádza v nebezpečnej zóne. Práve tu sa prijímajú rozhodnutia, ktoré neskôr určujú náklady na vyhotovenie rozvádzača, pneumatických a hydraulických systémov, servisných postupov a validácie.

Najužitočnejšie rozhodovacie kritérium v tejto fáze znie: existuje po vstupe človeka do nebezpečnej zóny akákoľvek cesta, ktorou môže vzniknúť nebezpečný pohyb bez jeho vedomého konania a mimo jeho kontroly? Ak odpoveď nie je jednoznačne záporná, samotné funkčné zastavenie nestačí a treba analyzovať odpojenie energie aj ochranu pred jej neúmyselným obnovením. Oplatí sa to posudzovať nie podľa deklarácií, ale podľa pozorovateľných ukazovateľov projektu: počtu zdrojov energie vyžadujúcich izoláciu, času potrebného na dosiahnutie bezpečného stavu, spôsobu potvrdenia zániku energie, počtu zásahov obsluhy vykonávaných mimo výrobného režimu a počtu miest, kde má personál pokušenie zabezpečenie „obísť“, pretože správny postup je príliš pomalý alebo príliš zaťažujúci. To posledné už prirodzene súvisí s témou manipulácie so zabezpečeniami a obchádzania ochranných prvkov, pretože nesprávne zvolené odpojenie energie veľmi často problém neodstraňuje, iba ho presúva do každodennej prevádzky.

Dobrým príkladom je pracovisko s pohyblivým krytom, v ktorom sa po otvorení krytu pohon zastaví, ale zvislý valec zostáva pod tlakom a systém sa po zatvorení krytu vracia do automatického cyklu. Formálne by operátor „nemal“ vstupovať hlbšie do zóny, no v skutočnosti bude vyberať diel, čistiť snímač alebo korigovať polohu chápadla. Ak sa v takomto scenári nepočíta s riadeným odpojením a rozptýlením energie a s podmienkami opätovného spustenia, nebezpečenstvo nevzniká počas bežnej výroby, ale práve pri krátkych, opakovaných zásahoch. Z pohľadu projektu je to moment, keď treba rozhodnúť, či problém rieši správne navrhnutý systém odpojenia energie, alebo sa téma presúva do oblasti blokovacích zariadení s istením a obmedzovania možností obchádzania. Ak sú predpoklady používania nejasné, odpoveď nevyplýva z intuície, ale z dôslednej analýzy rizika vykonávanej praktickým spôsobom, s ohľadom na skutočné činnosti vykonávané pri stroji.

Až na tomto pozadí má zmysel správne čítať požiadavky ISO 14118. Táto norma nenahrádza analýzu rizika a neposkytuje jednu univerzálnu schému odpojenia energie; usporadúva však spôsob uvažovania o predchádzaní neočakávanému spusteniu v predvídateľných stavoch prevádzky a zásahov. V praxi ju treba čítať spolu s hodnotením rizika vykonávaným v súlade s prístupom používaným v ISO/TR 14121-2 a, keď sa objaví téma krytov a blokovaní, aj s požiadavkami týkajúcimi sa obmedzovania manipulácie. To má význam aj z hľadiska zodpovednosti: ak sa stroj dodáva ako zostava, linka alebo nedokončené strojové zariadenie určené na integráciu, hranice zodpovednosti za funkcie odpojenia energie musia byť opísané dostatočne presne, aby medzi dodávateľmi nevznikla medzera. Práve preto si táto téma vyžaduje rozhodnutie teraz, a nie po montáži: neskoré dopĺňanie „bezpečného odpojenia“ do hotovej koncepcie takmer vždy stojí viac než jeho správne definovanie na začiatku.

Kde najčastejšie rastú náklady alebo riziko

Pri projektoch zameraných na ochranu pred neočakávaným spustením náklady zriedka rastú preto, že niekto „pridal priveľa bezpečnosti“. Oveľa častejšie je problémom nesprávne položená otázka na začiatku: či je potrebné odpojiť energiu, ktoré zdroje energie treba skutočne rozptýliť, kto vykonáva daný úkon a v akom stave má stroj po zásahu zostať. Ak tieto východiská nie sú dostatočne určené, tím navrhne riešenie, ktoré sa javí ako jednoduché, a potom sa k nemu vracia po preberacích skúškach, po pripomienkach používateľa alebo po analýze scenára nehody. Vtedy prichádzajú najdrahšie úpravy: zmena architektúry riadenia, prestavba pneumatiky alebo hydrauliky, doplnenie rozvádzačov, nové postupy a opätovné dohodnutie zodpovedností medzi dodávateľom stroja, integrátorom a koncovým používateľom. Praktické kritérium posúdenia je tu jednoznačné: ak tím nevie opísať, aký energetický stav stroja je požadovaný pre konkrétny zásahový úkon, rozhodnutie o spôsobe odpojenia energie je ešte predčasné.

Druhým zdrojom nákladov je stotožnenie odpojenia energie so samotným zastavením pohybu. Je to chyba obzvlášť častá tam, kde sa vyskytuje viac než jedno médium alebo akumulovaná energia: zvyškový tlak, klesanie prvkov vplyvom gravitácie, dobehový pohyb, pružiny, hydraulické akumulátory, pohony udržiavajúce polohu. V takýchto systémoch „vypnutie“ nemusí znamenať stav bezpečný pre človeka, ktorý vykonáva prestavenie, čistenie alebo odstraňovanie zaseknutia. Dôsledok pre návrh je jednoduchý: ak funkcia odpojenia nezahŕňa rozptýlenie zvyškovej energie alebo riadené udržanie bezpečného stavu, treba počítať nielen s úpravou inštalácie, ale aj so zodpovednosťou za nesprávne určené obmedzenia používania. V praxi sa oplatí pred schválením koncepcie posúdiť tri veci: či po odpojení zostáva energia schopná vyvolať pohyb, či to operátor môže overiť bez demontáže krytov a či obnovenie napájania samovoľne neobnoví možnosť spustenia.

Typický príklad sa týka stanice s pneumatickými pohonmi, v ktorej bol centrálny uzatvárací ventil prijatý ako dostatočné riešenie. Na schéme to vyzerá správne, ale počas prevádzky sa ukáže, že časť valcov udržiava polohu vďaka lokálne zachytenému tlaku a po opätovnom privedení napájania sa systém vracia do pohotovostného stavu rýchlejšie, než predpokladá sled úkonov personálu. Náklady potom nevyplývajú len z doplnenia odvzdušňovacích ventilov alebo mechanických blokovaní. Pridáva sa pozastavenie preberania, aktualizácia dokumentácie, opätovné overenie logiky riadenia a niekedy aj zmena návodu a školenia. Práve v tomto momente sa téma presúva od jednoduchého výberu odpájacieho prvku do oblasti praktického hodnotenia rizika podľa ISO 12100: treba ju vzťahovať na reálne činnosti, predvídateľné chyby človeka a spôsob prístupu do nebezpečnej zóny. V hydraulických systémoch navyše vzniká otázka, či rozptýlenie energie nezhoršuje stabilitu zaťaženia; vtedy sa rozhodnutie pri návrhu musí posudzovať spolu s požiadavkami na bezpečné vedenie a udržiavanie tlaku v systéme.

Až v tejto fáze odkaz na ISO 14118 usporadúva rozhodovanie, ale nenahrádza ho. Norma určuje smer: predchádzať neočakávanému spusteniu správnym odpojením, rozptýlením alebo riadením energie, ako aj organizačnými a technickými opatreniami primeranými predpokladaným zásahom. Ak sa však spor v tíme týka toho, či je daná činnosť „obsluhou pri zastavenom stroji“, alebo už zásahom vyžadujúcim úplnú izoláciu energie, je to signál, že sa treba vrátiť k metodike identifikácie nebezpečenstiev podľa normy ISO 12100 a hodnotenia rizika používaného v praxi, a nie hľadať odpoveď len v samotnej schéme. Naopak, keď je riešenie založené na otvorení krytu a blokovaní prístupu, rýchlo sa objaví druhý problém: či konštrukcia nevyvoláva obchádzanie ochranných prvkov, pretože postup odpojenia je príliš pomalý alebo príliš zaťažujúci. Vtedy sa téma prirodzene presúva aj k obmedzovaniu manipulácie s ochrannými zariadeniami. Pre projektového manažéra preto najdôležitejšie rozhodovacie kritérium neznie „aký prístroj použiť“, ale „či zvolený spôsob odpojenia poskytuje opakovateľný, overiteľný bezpečný stav pre konkrétnu činnosť a konkrétny prístup“. Ak odpoveď nie je jednoznačná, náklady narastú neskôr, spravidla v menej kontrolovanom momente projektu.

Ako k téme pristupovať v praxi

V praxi sa téma ochrany pred neočakávaným spustením nezačína výberom odpájača, ventilu ani postupom odstavenia, ale tým, že sa najprv ujasní, aké zásahy sa budú na stroji skutočne vykonávať a v akom technickom stave sa má stroj vtedy nachádzať. Toto rozhodnutie má priamy vplyv na architektúru systému, rozsah dokumentácie, čas uvedenia do prevádzky aj na zodpovednosť výrobcu alebo integrátora. Ak projektový tím zvolí príliš mierny predpoklad a servisný úkon bude považovať za bežnú obsluhu pri zastavenom stroji, riziko sa vráti pri preberaní, validácii alebo až po odovzdaní stroja do prevádzky. Ak bude naopak predpoklad zbytočne prísny, náklady vzrastú v dôsledku rozšírenia odpojovacích obvodov, dodatočných prístrojov, vyššej zložitosti sekvencií a nižšej technickej dostupnosti. Preto by malo byť praktické rozhodovacie kritérium jediné: či sa pri konkrétnom úkone dá dosiahnuť a potvrdiť bezpečný stav, ktorý vylučuje možnosť neúmyselného pohybu a nekontrolovaného uvoľnenia energie.

To znamená, že manažér alebo vlastník produktu by mal od tímu vyžadovať opis činností nie jazykom funkcií stroja, ale jazykom prístupu a energie. Treba vedieť, kto vstupuje do zóny, čoho sa dotýka, aké kryty otvára, ktoré pohony môžu vykonať zvyškový pohyb a kde zostáva tlak, gravitačné podopretie alebo energia akumulovaná v pružných prvkoch. Až na tomto základe možno rozhodnúť, či postačuje odpojenie jedného média, alebo je potrebné izolovať viacero zdrojov spolu s rozptýlením energie a zabezpečením proti opätovnému zapnutiu. V tomto bode téma prirodzene prechádza do praktického hodnotenia rizika podľa ISO 12100: ak sa spor týka hranice medzi „zastavením na zásah“ a „prácou vyžadujúcou úplnú izoláciu“, nejde už o problém výkonného prístroja, ale o klasifikáciu nebezpečenstva, predvídateľného používania a nesprávne predpokladaného správania používateľa.

Dobrým príkladom je pracovisko s elektrickým pohonom a pneumatickými valcami, do ktorého operátor pravidelne zasahuje, aby odstránil zaseknutý materiál. Formálne môže byť stroj zastavený, to však ešte samo osebe neznamená, že je zásah bezpečný. Ak po zastavení zostáva tlak, ktorý môže premiestniť pracovný prvok, alebo ak môže byť pohon znovu aktivovaný automatizáciou, samotný povel „stop“ problém nerieši. Projektové rozhodnutie by vtedy malo odpovedať nielen na otázku, ako odpojiť energiu, ale aj ako používateľ rozpozná, že bezpečný stav bol skutočne dosiahnutý a je udržiavaný. Ak je požadovaný postup dlhý, nepohodlný alebo nejasný, rastie riziko obchádzania ochranných opatrení, a tým vzniká ďalší konštrukčný problém súvisiaci s náchylnosťou na manipuláciu. To zvyčajne stojí viac než správne rozpoznanie situácie na začiatku, pretože neskoršie úpravy už nezasahujú len jeden prístroj, ale aj logiku riadenia, kryty, návod a validáciu.

• či odpojenie zahŕňa všetky energie, ktoré môžu vyvolať pohyb alebo uvoľnenie nebezpečenstva,
• či je bezpečný stav viditeľný alebo inak jednoznačne overiteľný,
• či opätovné zapnutie vyžaduje vedomý úkon a nenastane samovoľne po obnovení napájania.

Až po takomto usporiadaní má zmysel prejsť k normatívnym odkazom. Keď ochranné opatrenie spočíva v realizácii funkcie prostredníctvom riadiaceho systému, a nie výlučne mechanickým odizolovaním energie, téma prechádza do oblasti požiadaviek na bezpečnostné funkcie a ich spoľahlivosť. Ak je naopak kľúčové rozhodnúť, či daný zásah vyžaduje úplné odpojenie alebo je prípustná iná metóda ochrany, je potrebné vrátiť sa k metodickej identifikácii nebezpečenstiev podľa ISO 12100. V projektovej praxi to nie sú oddelené svety, ale ďalšie vrstvy toho istého rozhodnutia. ISO 14118 usporadúva spôsob uvažovania o odpojení a predchádzaní neočakávanému spusteniu, no tím nezbavuje povinnosti preukázať, že riešenie je primerané predpokladanej činnosti, odolné voči typickému obchádzaniu a že ho možno validovať bez ponechania „sivých zón“ zodpovednosti.

Na čo si dať pozor pri implementácii

Najčastejšia chyba pri zavádzaní ochrany proti neočakávanému spusteniu spočíva v tom, že tím vníma odpojenie energie ako jednoduchý výber prístroja, hoci v skutočnosti ide o rozhodnutie o hraniciach prevádzkovej, údržbovej a projektovej zodpovednosti. Ak riešenie jednoznačne neurčuje, kto, kedy a v akom stave stroja môže vstúpiť do nebezpečnej zóny, potom ani technicky správne navrhnutý odpojovací obvod riziko neuzatvára. Dôsledok pre projekt býva spravidla nákladný: neskoré úpravy dokumentácie, doplnenie vybavenia rozvádzačov, zmeny v logike riadenia a napokon spor o to, či výrobca predpokladal správny spôsob zásahu. Praktické kritérium posúdenia je tu jednoduché: pred schválením riešenia musí byť možné pre každú predpokladanú činnosť preukázať, či odpojenie skutočne eliminuje možnosť vzniku pohybu, uvoľnenia energie alebo obnovenia činnosti bez vedomého zásahu človeka.

Vo fáze návrhu sú obzvlášť nebezpečné riešenia „takmer postačujúce“, teda také, ktoré odpájajú hlavné napájanie, ale ponechávajú pomocné zdroje energie, akumulovanú energiu alebo možnosť pohybu vyvolaného zvonka. V praxi sa to týka pneumatických systémov so zvyškovým tlakom, zvislých osí držaných brzdou, prvkov so zotrvačnosťou, obvodov podržania a pohonov, ktoré sa po obnovení napájania vracajú do automatickej sekvencie. Ak sa tieto javy nerozpoznajú na začiatku, náklady sa neprejavia len pri nákupe dodatočných komponentov. Rastú aj náklady na uvádzanie do prevádzky a validáciu, pretože tím musí preukázať bezpečnosť riešenia, ktorého architektúra od začiatku nezahŕňala všetky hraničné stavy. Dobrou mierou pre rozhodovanie tu nie je počet použitých odpojovačov, ale počet energií a prevádzkových režimov, pre ktoré tím dokáže opísať cestu do bezpečného stavu a spôsob potvrdenia, že tento stav bol dosiahnutý.

Dobrým príkladom praktickej pasce je servisný zásah, ktorý formálne nevyžaduje vstup „hlboko“ do stroja, ale vynucuje otvorenie krytu a siahnutie do priestoru, kde zostáva pomocný pohon alebo pohyb vyplývajúci zo sekvencie riadenia. V takýchto prípadoch rozhodnutie o samotnom odpojení energie rýchlo prechádza do dvoch susedných oblastí. Po prvé, treba sa vrátiť k metodickému hodnoteniu rizika podľa ISO 12100 pre konkrétnu činnosť, pretože práve ono rozhoduje o tom, či je potrebné úplné oddelenie všetkých energií, alebo či možno preukázať rovnocenné ochranné opatrenie. Po druhé, ak budú operátori alebo údržba pravidelne obchádzať predpokladaný postup, problém prestáva byť výlučne otázkou ISO 14118 a vstupuje do oblasti manipulácie s ochrannými zariadeniami a obchádzania ochranných funkcií. To je dôležité z hľadiska zodpovednosti: riešenie, ktoré funguje len vtedy, keď používateľ postupuje spôsobom málo pravdepodobným v reálnej prevádzke, je slabé nie preto, že je „na papieri“ nevyhovujúce, ale preto, že návrh nezohľadnil predvídateľné správanie ľudí.

Práve preto by sa odkaz na ISO 14118 mal objaviť až na konci ako usporiadanie rozhodnutia, nie ako náhrada analýzy. Ak kľúčová otázka znie, či si daný zásah vyžaduje úplné odpojenie všetkých energií, správnym rozvinutím je hodnotenie rizika podľa ISO 12100 a v zložitejších prípadoch aj prax odhadu rizika opísaná v pomocných dokumentoch. Ak sa však problémom stáva náchylnosť riešenia na vedomé obchádzanie, prirodzeným doplnením je oblasť blokovacích zariadení a prevencie manipulácie. Pre projektový tím to znamená jednu vec: rozhodnutie o systéme odpojenia sa má schváliť až vtedy, keď ho možno obhájiť súčasne z technického, organizačného aj prevádzkového hľadiska. V opačnom prípade sa úspora na začiatku veľmi ľahko zmení na oneskorenie prevzatia, náklady na prestavbu alebo zodpovednosť, ktorej sa výrobca alebo integrátor len ťažko zbaví.