Zaščita pred nepričakovanim zagonom (ISO 14118) – analiza sistemov za odklop energije

Zakaj je ta tema danes pomembna

Zaščita pred nepričakovanim zagonom danes ni več izvedbena podrobnost, ki jo je mogoče pustiti za konec projekta. V praksi odločitev o tem, kako prekiniti in razpršiti energijo ter kako med preurejanjem, čiščenjem, odpravljanjem zastojev in servisnimi posegi potrditi varno stanje, hkrati vpliva na varnost ljudi, arhitekturo krmilnega sistema, način prevzema stroja in odgovornost proizvajalca ali integratorja. Če se ta tema obravnava zgolj kot vprašanje »glavnega stikala« ali same zaustavitve pogona, se projekt praviloma vrne v predelavo: pojavijo se potrebe po dodatnih ventilih, blokadah, izolacijskih točkah, spremembah v krmilnih sekvencah in popravkih tehnične dokumentacije. To niso stroškovno nevtralni popravki. Najpogosteje pomenijo zamik roka zagona, spor glede obsega dobave in težje utemeljevanje izbranih zaščitnih ukrepov pri ugotavljanju skladnosti.

Razlog je preprost: do nepričakovanega zagona redko pride zaradi ene same napake. Običajno je posledica napačne projektne predpostavke, da je zaustavitev gibanja enakovredna odpravi nevarnosti. V številnih strojih pa težavo še vedno predstavljajo preostala energija, samodejna vrnitev napajanja, spuščanje elementov pod vplivom gravitacije, ponovni zagon po resetiranju napake ali poseg iz več neodvisnih virov krmiljenja. Za projektno ekipo to pomeni, da mora ločiti tri vprašanja, ki se v praksi pogosto zamenjujejo: kaj je treba ustaviti, kaj je treba izolirati in kaj je treba ves čas človekove prisotnosti v nevarnem območju ohranjati v varnem stanju. Prav tu se sprejemajo odločitve, ki pozneje določajo stroške izdelave omare, pnevmatike, hidravlike, servisnih postopkov in validacije.

Najbolj uporabno merilo za odločanje v tej fazi se glasi: ali po vstopu človeka v nevarno območje obstaja kakršna koli pot, po kateri lahko nevarno gibanje nastane brez njegovega zavestnega dejanja in zunaj njegovega nadzora. Če odgovor ni nedvoumno nikalen, samo funkcionalno zaustavljanje ne zadostuje in je treba analizirati prekinitev energije ter zaščito pred njeno nenamerno ponovno vzpostavitvijo. To je smiselno presojati ne na ravni izjave, temveč na podlagi opaznih kazalnikov projekta: števila virov energije, ki zahtevajo izolacijo, časa, potrebnega za dosego varnega stanja, načina potrditve izginotja energije, števila operaterskih posegov, izvedenih zunaj proizvodnega načina, ter števila mest, kjer osebje zamika, da bi zaščito »obšlo«, ker je pravilni postopek prepočasen ali preveč obremenjujoč. To zadnje je že naravna stična točka s problematiko manipuliranja z zaščitami in obvodov, saj neustrezno izbrana prekinitev energije zelo pogosto ne odpravi težave, ampak jo samo prenese v vsakodnevno obratovanje.

Dober primer je delovno mesto s premičnim varovalom, pri katerem se po odprtju varovala pogon ustavi, vendar navpični valj ostane pod tlakom, sistem pa se po zaprtju varovala vrne v avtomatski cikel. Formalno operater »ne bi smel« segati globlje v območje, v resnici pa bo odstranjeval kos, čistil senzor ali popravljal položaj prijemala. Če v takem scenariju niso predvideni nadzorovana prekinitev in razpršitev energije ter pogoji za ponovni zagon, se nevarnost ne pojavi med normalno proizvodnjo, temveč prav med kratkimi, ponavljajočimi se posegi. Z vidika projekta je to trenutek, ko se je treba odločiti, ali težavo rešuje pravilno zasnovan sistem prekinitve energije ali pa se vprašanje premakne na področje blokirnih naprav z zaklepanjem in omejevanja možnosti obvoda. Če so predpostavke uporabe nejasne, odgovor ne izhaja iz intuicije, temveč iz zanesljive ocene tveganja, izvedene na praktičen način, z upoštevanjem dejanskih opravil, ki se izvajajo pri stroju.

Šele v tem okviru je mogoče smiselno razumeti zahteve standarda ISO 14118. Standard ne nadomešča analize tveganja in ne ponuja ene univerzalne sheme prekinitve energije; ureja pa način razmišljanja o preprečevanju nepričakovanega zagona v predvidljivih stanjih delovanja in posegov. V praksi ga je treba brati skupaj z oceno tveganja, izvedeno v skladu s pristopom, uporabljenim v ISO/TR 14121-2, in, kadar se pojavi tema varoval in blokad, tudi z zahtevami glede omejevanja manipulacij. To je pomembno tudi z vidika odgovornosti: če je stroj dobavljen kot sklop, linija ali nedokončan stroj, predviden za integracijo, morajo biti meje odgovornosti za funkcije prekinitve energije opisane dovolj natančno, da med dobavitelji ne nastane vrzel. Prav zato ta tema zahteva odločitve zdaj, ne pa po montaži: pozno dodajanje »varne prekinitve« v že pripravljeno zasnovo skoraj vedno stane več kot njena pravilna opredelitev na začetku.

Kje najpogosteje naraščajo stroški ali tveganje

Pri projektih, ki obravnavajo zaščito pred nepričakovanim zagonom, se stroški redko povečajo zato, ker je nekdo »dodal preveč varnosti«. Veliko pogosteje je težava v napačno zastavljenem vprašanju na začetku: ali je treba energijo odklopiti, katere vire energije je dejansko treba razpršiti, kdo izvaja poseg in v kakšnem stanju mora stroj ostati po intervenciji. Če te predpostavke niso dovolj natančno opredeljene, ekipa zasnuje navidezno preprosto rešitev, nato pa se k njej vrača po prevzemnih preizkusih, po pripombah uporabnika ali po analizi scenarija nesreče. Takrat nastanejo najdražji popravki: sprememba arhitekture krmiljenja, predelava pnevmatike ali hidravlike, dodatna oprema omar, novi postopki in ponovno usklajevanje odgovornosti med dobaviteljem stroja, integratorjem in končnim uporabnikom. Praktično merilo presoje je tu jasno: če ekipa ne zna opisati, kakšno energijsko stanje stroja je zahtevano za konkreten intervencijski poseg, je odločitev o načinu odklopa energije še prezgodnja.

Drugi vir stroškov je enačenje odklopa energije zgolj z zaustavitvijo gibanja. To je napaka, ki je posebej pogosta tam, kjer nastopa več kot en medij ali shranjena energija: preostali tlak, spuščanje elementov pod vplivom gravitacije, vztrajnostno gibanje, vzmeti, hidravlični akumulatorji, pogoni za zadrževanje položaja. V takih sistemih »izklop« ne pomeni nujno varnega stanja za človeka, ki izvaja preurejanje, čiščenje ali odpravljanje zagozditve. Projektna posledica je preprosta: če funkcija odklopa ne vključuje razpršitve preostale energije ali nadzorovanega ohranjanja varnega stanja, je treba računati ne le s predelavo instalacije, temveč tudi z odgovornostjo za nepravilno določene omejitve uporabe. V praksi je pred potrditvijo koncepta smiselno oceniti tri stvari: ali po odklopu ostane energija, ki lahko povzroči gibanje, ali lahko operater to preveri brez demontaže varoval, ter ali ponovna vzpostavitev napajanja samodejno znova omogoči zagon.

Tipičen primer je postaja s pnevmatskimi pogoni, pri kateri je bil centralni zaporni ventil sprejet kot zadostna rešitev. Na shemi je to videti pravilno, med obratovanjem pa se izkaže, da del valjev ohranja položaj zaradi lokalno ujetega tlaka, po ponovni vzpostavitvi napajanja pa se sistem vrne v stanje pripravljenosti hitreje, kot to predvideva zaporedje opravil osebja. Takrat strošek ne izhaja zgolj iz dodatne vgradnje odzračevalnih ventilov ali mehanskih blokad. Pojavijo se še zaustavitev prevzema, posodobitev dokumentacije, ponovno preverjanje logike krmiljenja, včasih pa tudi sprememba navodil in usposabljanja. Prav v tem trenutku tema preide iz preproste izbire odklopnega elementa na področje praktične ocene tveganja po ISO 12100: upoštevati je treba dejanska opravila, predvidljive človeške napake in način dostopa do nevarnega območja. Pri hidravličnih sistemih se dodatno pojavi še vprašanje, ali razpršitev energije ne poslabša stabilnosti bremena; v takem primeru je treba projektno odločitev obravnavati skupaj z zahtevami za varno vodenje in vzdrževanje tlaka v sistemu.

Šele na tej stopnji sklicevanje na ISO 14118 uredi odločanje, vendar ga ne nadomesti. Standard pokaže smer: preprečiti nepričakovani zagon z ustreznim odklopom, razpršitvijo ali nadzorom energije ter z organizacijskimi in tehničnimi ukrepi, primernimi za predvidene posege. Če pa se spor v ekipi nanaša na to, ali je določeno opravilo »vzdrževanje pri zaustavljenem stroju« ali že poseg, ki zahteva popolno izolacijo energije, je to znak, da se je treba vrniti k metodologiji identifikacije nevarnosti v skladu s standardom ISO 12100, kot se uporablja v praksi, in ne iskati odgovora zgolj v sami shemi. Kadar pa rešitev temelji na odprtju varovala in blokadi dostopa, se hitro pojavi še druga težava: ali zasnova ne spodbuja obvoda zaščite, ker je postopek odklopa prepočasen ali preveč obremenjujoč. Takrat se tema naravno razširi tudi na omejevanje manipuliranja z zaščitnimi ukrepi. Za vodjo projekta zato najpomembnejše merilo odločanja ni »katero napravo uporabiti«, temveč »ali izbrani način odklopa zagotavlja ponovljivo, preverljivo varno stanje za konkretno opravilo in konkreten dostop«. Če odgovor ni nedvoumen, bodo stroški narasli pozneje, praviloma v manj nadzorovanem trenutku projekta.

Kako se teme lotiti v praksi

V praksi se vprašanje zaščite pred nepričakovanim zagonom ne začne pri izbiri ločilnega stikala, ventila ali postopka zaustavitve, temveč pri jasni opredelitvi, kateri posegi se bodo na stroju dejansko izvajali in v kakšnem tehničnem stanju mora biti stroj med njimi. Ta odločitev neposredno vpliva na arhitekturo sistema, obseg dokumentacije, čas zagona ter odgovornost proizvajalca ali integratorja. Če projektna ekipa izhaja iz preveč ohlapne predpostavke in servisni poseg obravnava kot običajno opravilo pri zaustavljenem stroju, se bo tveganje znova pojavilo pri prevzemu, validaciji ali šele po predaji stroja v uporabo. Če pa je predpostavka pretirano stroga, se stroški povečajo zaradi obsežnejših sistemov za odklop, dodatnih naprav, večje kompleksnosti zaporedij in slabše tehnične razpoložljivosti. Zato mora biti praktično merilo odločitve eno samo: ali je za konkretno opravilo mogoče doseči in potrditi varno stanje, ki izključuje možnost nenamernega gibanja in nenadzorovanega sproščanja energije.

To pomeni, da mora vodja ali lastnik izdelka od ekipe zahtevati opis opravil ne v jeziku funkcij stroja, temveč v jeziku dostopa in energije. Jasno mora biti, kdo vstopa v območje, česa se dotika, katere zaščite odpira, kateri pogoni lahko izvedejo preostalo gibanje, kje ostaja tlak, gravitacijska podpora ali energija, nakopičena v elastičnih elementih. Šele na tej podlagi je mogoče odločiti, ali zadostuje odklop enega medija ali pa je treba izolirati več virov skupaj z razpršitvijo energije in zaščito pred ponovnim vklopom. Na tej točki se tema naravno prevesi v praktično oceno tveganja po ISO 12100: če se spor nanaša na mejo med »zaustavitvijo zaradi posega« in »delom, ki zahteva popolno izolacijo«, potem to ni več vprašanje izvršilnega elementa, temveč razvrstitve nevarnosti, predvidene uporabe in napačno predpostavljenega ravnanja uporabnika.

Dober primer je delovno mesto z električnim pogonom in pnevmatskimi valji, v katerega operater občasno poseže, da odstrani zagozden material. Formalno je stroj lahko zaustavljen, vendar to še ne pomeni, da je poseg varen. Če po zaustavitvi ostane tlak, ki lahko premakne delovni element, ali pa se pogon lahko znova aktivira prek avtomatike, sam ukaz »stop« težave ne reši. Projektna odločitev mora zato odgovoriti ne le na vprašanje, kako odklopiti energijo, temveč tudi, kako bo uporabnik prepoznal, da je varno stanje dejansko doseženo in ohranjeno. Če je zahtevani postopek dolg, nepraktičen ali nejasen, se poveča tveganje obhajanja zaščit, s tem pa nastane dodatna konstrukcijska težava, povezana z dovzetnostjo za manipulacijo. To praviloma stane več kot pravilna presoja položaja na začetku, saj poznejši popravki ne zajemajo več le posamezne naprave, temveč tudi logiko krmiljenja, zaščite, navodila in validacijo.

• ali odklop zajema vse energije, ki lahko povzročijo gibanje ali sprostitev nevarnosti,
• ali je varno stanje vidno ali kako drugače nedvoumno preverljivo,
• ali ponovni vklop zahteva zavestno dejanje in se ne zgodi samodejno po ponovni vzpostavitvi napajanja.

Šele po takšni ureditvi je smiselno preiti na normativna sklicevanja. Kadar zaščitni ukrep temelji na izvajanju funkcije prek krmilnega sistema, ne pa izključno na mehanski izolaciji energije, se vprašanje premakne na področje zahtev za varnostne funkcije in njihovo zanesljivost. Kadar pa je ključno odločiti, ali določen poseg zahteva popoln odklop ali je dopustna druga metoda zaščite, se je treba vrniti k metodični identifikaciji nevarnosti v skladu s standardom ISO 12100. V projektni praksi to niso ločeni svetovi, temveč zaporedne plasti iste odločitve. ISO 14118 ureja način razmišljanja o odklopu in preprečevanju nepričakovanega zagona, vendar ekipe ne razbremeni obveznosti, da dokaže, da je rešitev ustrezna za predvideno opravilo, odporna na tipična obhajanja in jo je mogoče validirati, ne da bi ostala »siva območja« odgovornosti.

Na kaj je treba paziti pri uvedbi

Najpogostejša napaka pri uvajanju zaščite pred nepričakovanim zagonom je, da ekipa odklop energije obravnava kot preprosto izbiro aparata, čeprav gre v resnici za odločitev o mejah operativne, vzdrževalne in projektne odgovornosti. Če rešitev ne določa nedvoumno, kdo, kdaj in v kakšnem stanju stroja sme vstopiti v nevarno območje, potem tudi tehnično pravilno izveden odklopni sistem ne odpravi tveganja. Posledice za projekt so običajno drage: pozni popravki dokumentacije, dodatna oprema v razdelilnih omarah, spremembe v logiki krmiljenja in na koncu spor o tem, ali je proizvajalec predvidel ustrezen način posega. Praktično merilo presoje je tu preprosto: pred potrditvijo rešitve je treba za vsako predvideno opravilo znati dokazati, ali odklop dejansko odpravlja možnost nastanka gibanja, sprostitve energije ali ponovne vzpostavitve delovanja brez zavestnega človekovega dejanja.

V fazi načrtovanja so posebej nevarne rešitve, ki so »skoraj zadostne«, torej takšne, ki odklopijo glavno napajanje, vendar pustijo pomožne vire energije, akumulirano energijo ali možnost gibanja, ki ga povzroči zunanji vpliv. V praksi to zadeva pnevmatske sisteme s preostalim tlakom, navpične osi, ki jih zadržuje zavora, elemente z vztrajnostjo, vzdrževalna vezja in pogone, ki se po vrnitvi napajanja vrnejo v avtomatsko zaporedje. Če ti pojavi niso prepoznani na začetku, se strošek ne pokaže le pri nakupu dodatnih komponent. Povečajo se tudi stroški zagona in validacije, ker mora ekipa dokazati varnost rešitve, katere arhitektura od začetka ni zajemala vseh mejnih stanj. Dobro merilo za odločanje tu ni število uporabljenih odklopnikov, temveč število energij in načinov delovanja, za katere zna ekipa opisati pot do varnega stanja ter način potrditve, da je bilo to stanje doseženo.

Dober primer praktične pasti je servisni poseg, ki formalno ne zahteva vstopa »globoko« v stroj, vendar terja odprtje varovala in seganje v območje, kjer ostaja pomožni pogon ali gibanje, ki izhaja iz krmilnega zaporedja. V takih primerih odločitev zgolj o odklopu energije hitro preide na dve sosednji področji. Prvič, vrniti se je treba k metodični oceni tveganja za konkretno opravilo, saj prav ta odloča, ali je popolna izolacija vseh energij nujna ali pa je mogoče dokazati enakovreden varovalni ukrep. Drugič, če bodo operaterji ali vzdrževanje redno obhajali predvideni postopek, problem ni več izključno vprašanje ISO 14118, temveč posega tudi na področje manipulacije z varovali in obvodov. To je pomembno z vidika odgovornosti: rešitev, ki deluje samo takrat, ko uporabnik ravna na način, ki je v dejanski uporabi malo verjeten, je šibka ne zato, ker je »na papirju« neskladna, temveč zato, ker projekt ni upošteval predvidljivega ravnanja ljudi.

Prav zato se mora sklic na ISO 14118 pojaviti na koncu kot ureditev sprejetih odločitev, ne pa kot nadomestilo za analizo. Če je ključno vprašanje, ali določen poseg zahteva popoln odklop vseh energij, je ustrezna nadgradnja ocena tveganja po ISO 12100, v bolj zapletenih primerih pa tudi praksa ocenjevanja tveganja, opisana v pomožnih dokumentih. Če pa postane problem dovzetnost rešitve za namerno obhajanje, je naravna dopolnitev področje blokirnih naprav in preprečevanja manipulacije. Za projektno ekipo to pomeni eno: odločitev o sistemu odklopa je treba potrditi šele takrat, ko jo je mogoče utemeljiti hkrati tehnično, organizacijsko in z vidika obratovanja. V nasprotnem primeru se začetni prihranek zelo hitro spremeni v zamudo pri prevzemu, strošek predelave ali odgovornost, ki jo je težko razpršiti na strani proizvajalca ali integratorja.