Blokirne naprave z zaklepanjem v skladu z ISO 14119 – kako preprečiti manipulacijo?

Manipulacija z blokirnimi napravami z zaklepanjem je le redko posledica zgolj »slabe prakse« operaterja. Najpogosteje izhaja iz projektnih odločitev, ki ne upoštevajo dejanskega načina dostopa do nevarnega območja, čakalnega časa do varnega odpiranja in obremenjujočnosti ponovnega zagona. Zato je vprašanje skladnosti s SIST EN ISO 14119 smiselno zastaviti širše: ne le, kako izbrati blokirno napravo, temveč tudi, kako zasnovati varovalo, zaporedje zaustavitve in logiko dostopa, da obvod varovanja za uporabnika ne bo najpreprostejša rešitev.

V praksi to pomeni povezovanje več ravni odločitev. Sama SIST EN ISO 14119 ureja izbiro blokirnih naprav in ukrepe za omejevanje možnosti manipulacije, vendar jo je treba brati skupaj s SIST EN ISO 14120 za varovala, z zahtevami za varnostne funkcije po ISO 13849, tam, kjer gre za elektronske krmilne sisteme, pa tudi v povezavi s SIL. Če govorimo o varnostni ograji, je pomemben tudi ISO 13857. Vendar tudi pravilno sklicevanje na standarde ne more nadomestiti temeljne projektne odločitve: ali je izbrani način delovanja stroja mogoče ohraniti brez pritiska k obhajanju varoval.

Zakaj je ta tema danes pomembna

Blokirne naprave z zaklepanjem niso več le podrobnost premičnega varovala, ki se izbere na koncu projekta. V praksi vplivajo na arhitekturo stroja, način upravljanja, logiko zaustavitve in organizacijo dostopa do nevarnega območja. Če so izbrane zgolj z vidika formalne skladnosti, ne pa tudi dejanskih obratovalnih razmer, se manipulacija hitro pojavi: obvod aktivirnega elementa, puščanje varovala odprtega, prisilno izvajanje cikla pri nezaprtem dostopu. To ni postranski problem, temveč znak, da projekt ni upošteval predvidljivega načina uporabe stroja.

Posledice so praviloma drage in se pokažejo pozno, ko je uvajanje sprememb najtežje. Lastnik izdelka in oseba, odgovorna za skladnost, se morata takrat hkrati soočiti s povečanim tveganjem za poškodbe, izpodbijanjem sprejetih varovalnih ukrepov in potrebo po popravkih po zagonu. Najdražje napake nastanejo v izhodiščni fazi, ko se zaklepanje obravnava kot preprosta kataloška izbira namesto kot del varnostne funkcije in organizacije dostopa. Projektna ekipa bi morala odgovoriti ne le na vprašanje, ali mora biti varovalo nadzorovano, temveč predvsem: kako pogosto se bo odpiralo, ali je zaustavitev povezana z iztekom gibanja ali preostalo energijo, ali bo imel operater praktičen motiv za skrajševanje cikla in ali je ta motiv mogoče odpraviti s spremembo rešitve.

To je še posebej očitno tam, kjer mora operater redno odpravljati zastoje ali dopolnjevati material. Če je varovalo zaklenjeno do popolne zaustavitve, vendar čas sprostitve zaklepa ne ustreza dejanski dinamiki procesa ali pa je postopek ponovnega zagona nesorazmerno obremenjujoč, postane obvod varovanja predvidljiv. Posledice za projekt so konkretne: dodatne mehanske predelave, spremembe v varnostnem tokokrogu, popravki tehnične dokumentacije, včasih pa tudi preureditev pogonskega ali hidravličnega sistema, kadar se kot vir težave izkaže sam način zaustavitve.

Šele v tem okviru je sklicevanje na standarde utemeljeno. SIST EN ISO 14119 ureja izbiro blokirnih naprav z zaklepanjem in pristop k omejevanju manipulacije, vendar ne nadomešča analize tveganja. Razlagati jo je treba skupaj s SIST EN ISO 14120 za varovala ter z zahtevami za varnostne funkcije po ISO 13849, pri elektronskih krmilnih sistemih pa tudi s SIL. Če je dostop izveden prek varnostne ograje, je pomemben tudi ISO 13857. S praktičnega vidika je sklep preprost: o tveganju manipulacije je treba odločati v fazi projektiranja ali modernizacije, saj se po zagonu odpravljajo že posledice napačnih predpostavk, ne pa njihovi vzroki.

Kje najpogosteje naraščajo stroški ali tveganje

Največ izgub ne izhaja iz same uporabe blokirne naprave z zaklepanjem, temveč iz napačne predpostavke, da je problem manipulacije mogoče odpraviti z »močnejšo« ključavnico ali strožjo logiko krmiljenja. V praksi stroški in tveganje narastejo takrat, ko zaščitni ukrep bolj ovira normalno delo, kot pa dejansko omejuje možnost obvoda. Projektna ekipa takrat prepozna simptom, ne pa vzroka: pogosto odpiranje varovala, potrebo po spremljanju procesa, skrajševanje cikla, popravke nastavitev ali odstranjevanje zastojev. Če takšne situacije niso prepoznane pred zaključkom projekta, se pojavi značilno zaporedje posledic: predelave varoval, sprememba logike krmiljenja, ponovna validacija varnostnih funkcij in spor o tem, ali je izvor težave v konstrukciji, integraciji ali uporabi.

Drugo področje tveganja je ločevanje mehanskih in avtomatizacijskih odločitev. Kadar konstruktor varovala, avtomatik in oseba, odgovorna za skladnost, delujejo neodvisno, se zaklepanje pogosto izbere prepozno, potem ko so že določeni geometrija vrat, smer odpiranja, zračnosti, sile zapiranja in način odpravljanja okvar. Takrat mora blokirna naprava kompenzirati slabosti celotne arhitekture stroja. Posledice so preobremenitev elementov, težave s soosnostjo, nestabilen položaj varovala in montažne tolerance, ki med obratovanjem začnejo spodbujati obvod zaščite. Če je pravilno delovanje zaklepanja odvisno od zelo natančne nastavitve, »nežnega« zapiranja ali od tega, da bo operater vsakokrat čakal dlje, kot to dopušča proces, je tveganje manipulacije že vgrajeno v projekt.

V praksi je to dobro vidno na delovnih mestih, kjer je dostop do nevarnega območja pogost, vendar kratek: pri preurejanju, odvzemu obdelovanca, odstranjevanju odpadka ali korekciji položaja. Če projekt predvideva zaklepanje do prenehanja nevarnosti, vendar ne loči zaustavitve procesa od hitrega, nadzorovanega dostopa za operaterja ali serviserja, uporabnik začne iskati bližnjice. Neavtoriziran aktivirni element, na hitro priprto varovalo, podpiranje zapaha ali obhod zaporedja ponovnega zagona takrat niso incident, temveč pokazatelj neustrezne projektne odločitve.

• Kako pogosto se bo varovalo odpiralo v običajnem delovnem ciklu.
• Koliko časa traja varno odpiranje od trenutka zaustavitve.
• Ali so pogoji za ponovni zagon sorazmerni vrsti posega.
• Ali ima uporabnik preprosto, tehnično možnost obvoda zaščite.
• Ali geometrija varovala in način montaže podpirata stabilno delovanje zapaha med obratovanjem.

Standardi urejajo način ocenjevanja teh vprašanj, vendar odločitev ne sprejemajo namesto projektanta. SIST EN ISO 14119 določa načela izbire blokirnih naprav in omejevanja manipulacije, vendar jo je treba povezati s SIST EN ISO 14120, varnostne funkcije pa je treba obravnavati v logiki ISO 13849, v nekaterih primerih tudi s SIL za elektronske krmilne sisteme. Kadar gre za varnostne ograde, ni mogoče prezreti ISO 13857. Končno merilo pa ostaja praktično: ali je manipulacija še vedno problem, ki ga je treba omejiti, ali pa je že dokaz napačno določenih pogojev varnega dostopa in zaporedja zaustavitve.

Kako se teme lotiti v praksi

Vprašanje, kako preprečiti manipulacijo, se ne bi smelo začeti z izbiro konkretne naprave. Najprej je treba ugotoviti, v katerih okoliščinah bodo operater ali vzdrževalno osebje dejansko imeli motiv za obid varnostne funkcije. Če je dostop do nevarnega območja potreben pogosto, zaustavitev traja predolgo ali pa je po odprtju varovala vrnitev v stanje pripravljenosti pretirano zahtevna, postane manipulacija predvidljiva posledica zasnove. Z vidika upravljanja to pomeni višje stroške zagona, več sprememb po prevzemu in težje zagovarjanje sprejetih rešitev v primeru incidenta ali spora glede skladnosti.

Zato je zaporedje odločitev bistvenega pomena. Najprej je treba urediti scenarije dostopa: preurejanje, odpravljanje zagozditev, čiščenje, kontrolo kakovosti, diagnostiko in vzdrževanje. Šele nato je mogoče presoditi, ali mora blokada preprečevati dostop do nevarnosti, ki po ukazu za zaustavitev še vedno obstaja, ali pa zgolj zagotavljati pravilno zaporedje delovanja. Mešanje teh dveh ciljev v eni rešitvi hitro vodi v skrite stroške: nejasne pogoje za sprostitev blokade, nepotrebne servisne obvode, konflikte med avtomatizacijo in procesno tehnologijo ter dokumentacijo, ki jo je težko zagovarjati kot usklajeno.

Praktičen primer je preprost. Če se varovalo odpira večkrat na izmeno zaradi odpravljanja manjših motenj, blokada pa se sprosti šele po času, ki ga operater dojema kot neupravičeno dolgega, težava ni v delovni disciplini. Sama zamenjava stikala z modelom z višjo stopnjo kodiranja lahko oteži preprosto tehnično manipulacijo, ne odpravi pa njenega vzroka. V takem primeru se je treba vrniti k izhodiščem in preveriti, ali je mogoče skrajšati varno zaustavitev, ločiti območja dostopa, spremeniti zaporedje ponastavitve, uvesti intervencijski način z nadzorom pogojev ali drugače rešiti odpravljanje zagozditev. Prav te odločitve zmanjšujejo pritisk k obhajanju varoval.

Šele po takšni ureditvi je mogoče smiselno uporabljati sklice na standarde. SIST EN ISO 14119 ureja izbiro blokirnih naprav, način njihove vgradnje in ukrepe za omejevanje možnosti manipulacije, vendar ne nadomešča presoje dejanskega načina uporabe stroja. Obravnavati jo je treba skupaj s SIST EN ISO 14120, izbira in validacija varnostnih funkcij pa zahtevata sklicevanje na ISO 13849; pri elektronskih krmilnih sistemih se lahko pojavi tudi SIL. Kadar se dostop nanaša na varnostno ograjo, je pomemben tudi ISO 13857. Z vidika praktika je najpomembnejši sklep naslednji: najprej je treba odpraviti motiv za obid, šele nato oteževati sam obid.

Na kaj paziti pri uvedbi

Najpogostejša napaka pri uvedbi je domneva, da blokirna naprava z zaklepanjem sama po sebi reši problem manipulacije. V praksi pa težišče odločitve prenaša na način uporabe varovala, logiko odklepanja, geometrijo vgradnje in organizacijo posegov. Če ti pogoji niso dovolj premišljeni, bo uporabnik še vedno iskal bližnjice, projekt pa bo to najdražje občutil v najslabšem trenutku: med zagonom, prevzemom ali šele po predaji stroja v uporabo. Takrat se ne pojavijo le mehanski popravki in spremembe v krmilnem sistemu, temveč tudi težave pri zagovarjanju dokumentacije o skladnosti, ko se izkaže, da predvidljivega obhoda v resnici niso učinkovito omejili.

Posebna previdnost je potrebna tam, kjer naj bi zaklep kompenziral težave, katerih izvor je zunaj same blokirne naprave. Če je treba varovalo pogosto odpirati, ker proces zahteva nastavitve, odstranjevanje zagozditev ali potrjevanje stanja obdelovanca, samo zvišanje ravni zaščite praviloma ne reši težave. Prej poveča stroške in zaostri napetosti pri obratovanju. Če je dostop do nevarnega območja redno potreben v običajnem delovnem ciklu, je treba najprej preveriti, ali se ne načrtuje proces, ki sam spodbuja obhod zaščite. V takem primeru pravo vprašanje ni »kateri zaklep uporabiti«, temveč ali so pogostost dostopa, čakalni čas in pogoji za ponovni zagon sprejemljivi z vidika dejanskega upravljanja.

Tipična težava se pojavi, ko je sprostitev zaklepa odvisna od zaustavitve gibanja ali razelektritve energije, vendar je signal pripravljenosti za odpiranje nestabilen ali zamuja glede na obnašanje stroja. Operater takrat vidi varovalo, ki ga »ni mogoče odpreti«, čeprav je z njegovega vidika poseg nujen in tehnično preprost. Če poleg tega ni predviden varen način odpravljanja motenj, se hitro pojavijo nadomestne rešitve: puščanje varovala priprtega, prisilno nastavljanje položaja izvršilnega elementa ali poseganje v aktivirni mehanizem. To je jasen signal, da robni pogoji uvedbe niso bili pravilno prepoznani.

Zato je v fazi zagona smiselno opazovati ne le formalno pravilnost varnostne funkcije, temveč tudi potek dejanskega obratovanja: število zaustavitev, ki zahtevajo vstop v območje, čakalni čas za odklepanje, razloge za posege in število sprememb logike po zagonu. Če se ti signali stopnjujejo, projekt še vedno vsebuje vgrajeno tveganje manipulacije, tudi če je bil sam varnostni element izbran pravilno. V takšni ureditvi SIST EN ISO 14119 ostaja referenčna točka za izbiro in montažo blokirne naprave, vendar jo je treba uporabljati skupaj s SIST EN ISO 14120, z zahtevami za varnostne funkcije po ISO 13849, v ustreznih primerih pa tudi s SIL za elektronske krmilne sisteme in z ISO 13857 za varnostne ograde. Uvedbo je mogoče šteti za zrelo šele takrat, ko zaklepanje ne prikriva slabosti procesa, temveč zaokroži pravilno prepoznan scenarij tveganja.