Skydd mot oavsiktlig igångsättning (ISO 14118) – analys av system för frånkoppling av energi

Varför detta är viktigt i dag

Skydd mot oväntad start är i dag inte någon utförandedetalj som kan lämnas till slutet av projektet. I praktiken påverkar beslutet om hur energi ska brytas och avledas, och hur säkert tillstånd ska bekräftas vid omställningar, rengöring, borttagning av stopp och servicearbeten, samtidigt människors säkerhet, styrsystemets arkitektur, hur maskinen tas emot och ansvaret på tillverkarens eller integratörens sida. Om frågan behandlas enbart som en fråga om “huvudbrytaren” eller bara om att stoppa drivningen, behöver projektet vanligtvis göras om: det uppstår behov av extra ventiler, förreglingar, frånskiljningspunkter, ändringar i styrsekvenser och justeringar i den tekniska dokumentationen. Det är inte ändringar utan kostnadspåverkan. Oftast innebär de att driftsättningen försenas, att det uppstår tvist om leveransomfattningen och att det blir svårare att motivera de valda skyddsåtgärderna vid bedömning av överensstämmelse.

Skälet är enkelt: oväntad start beror sällan på ett enda fel. Vanligtvis är det följden av ett felaktigt konstruktionsantagande att ett stopp av rörelsen är detsamma som att faran har undanröjts. I många maskiner kvarstår dock problemet med restenergi, automatisk återkomst av matning, att delar sjunker under inverkan av gravitationen, omstart efter felåterställning eller påverkan från flera oberoende styrkällor. För projektgruppen innebär detta att man måste skilja mellan tre frågor som i praktiken ofta blandas ihop: vad som måste stoppas, vad som måste isoleras och vad som måste hållas i säkert tillstånd under hela den tid en person befinner sig i riskområdet. Det är just här som beslut fattas som senare avgör kostnaden för elskåp, pneumatik, hydraulik, serviceprocedurer och validering.

Det mest användbara beslutskriteriet i detta skede är: finns det, efter att en person gått in i riskområdet, någon väg genom vilken en farlig rörelse kan uppstå utan personens medvetna handling och utanför dennes kontroll. Om svaret inte är entydigt nekande räcker inte ett enbart funktionellt stopp, och då måste man analysera energifrånskiljning och skydd mot oavsiktlig återinkoppling. Det är värt att bedöma detta inte utifrån deklarationer, utan utifrån observerbara indikatorer i projektet: antalet energikällor som kräver isolering, tiden som behövs för att uppnå säkert tillstånd, hur energibortfall bekräftas, antalet operatörsingrepp som utförs utanför produktionsläge samt antalet ställen där personalen frestas att “gå runt” skyddet därför att den korrekta proceduren är för långsam eller för besvärlig. Det sistnämnda är redan en naturlig beröringspunkt med frågan om manipulation av skydd och förbikopplingar, eftersom en felaktigt vald energifrånskiljning mycket ofta inte löser problemet utan bara flyttar det till den dagliga driften.

Ett bra exempel är en station med rörligt skydd där drivningen stoppas när skyddet öppnas, men där en vertikal cylinder fortfarande står under tryck och systemet återgår till automatisk cykel när skyddet stängs. Formellt “ska” operatören inte gå längre in i området, men i verkligheten kommer han eller hon att ta bort en detalj, rengöra en givare eller korrigera griparens läge. Om man i ett sådant scenario inte har förutsett kontrollerad frånkoppling och avledning av energi samt villkor för återstart, uppstår faran inte under normal produktion utan just vid korta, återkommande ingrepp. Ur projektsynpunkt är detta den punkt där man måste avgöra om problemet löses med ett korrekt utformat system för energifrånskiljning, eller om frågan i stället går över till området för förreglande anordningar med låsning och begränsning av möjligheten till förbikoppling. Om användningsförutsättningarna är oklara följer svaret inte av intuition, utan av en tillförlitlig riskbedömning enligt ISO 12100 som genomförs på ett praktiskt sätt, med identifiering av riskkällor enligt ISO 12100 och med hänsyn till de faktiska arbetsmoment som utförs vid maskinen.

Först mot denna bakgrund går det att tolka kraven i ISO 14118 på ett meningsfullt sätt. Standarden ersätter inte riskbedömningen och ger inte något enda universellt schema för energifrånskiljning; den strukturerar däremot sättet att tänka kring förebyggande av oväntad start i förutsebara drift- och ingreppssituationer. I praktiken måste den läsas tillsammans med riskbedömning enligt ISO 12100 och det angreppssätt som används i ISO/TR 14121-2 samt, när frågan om skydd och förreglingar aktualiseras, med kraven för att begränsa manipulation. Detta har också betydelse för ansvarsfördelningen: om maskinen levereras som en enhet, en linje eller en delvis fullbordad maskin avsedd för integration, måste gränserna för ansvaret för energifrånskiljningsfunktionerna beskrivas så tydligt att det inte uppstår något glapp mellan leverantörerna. Det är just därför frågan kräver beslut nu och inte efter monteringen: att i efterhand lägga till “säker frånkoppling” i ett färdigt koncept kostar nästan alltid mer än att definiera den korrekt från början.

Var kostnaden eller risken oftast ökar

I projekt som gäller skydd mot oväntad start ökar kostnaden sällan för att någon “lagt till för mycket säkerhet”. Betydligt oftare ligger problemet i att fel fråga ställs från början: om energin måste brytas, vilka energikällor som faktiskt måste avledas, vem som utför åtgärden och i vilket tillstånd maskinen ska vara efter ingreppet. Om dessa förutsättningar är otydliga tar teamet fram en lösning som verkar enkel, men som man sedan måste återvända till efter acceptansprov, efter synpunkter från användaren eller efter analys av ett olycksscenario. Det är då de dyraste korrigeringarna uppstår: ändrad styrarkitektur, ombyggnad av pneumatik eller hydraulik, komplettering av skåp, nya rutiner och förnyad avstämning av ansvar mellan maskinleverantör, integratör och slutanvändare. Det praktiska bedömningskriteriet är här entydigt: om teamet inte kan beskriva vilket energitillstånd maskinen måste ha för en viss interventionsåtgärd, är beslutet om hur energin ska brytas fortfarande för tidigt.

En andra kostnadsdrivare är att likställa energifrånskiljning med att bara stoppa rörelsen. Det är ett fel som är särskilt vanligt där det finns mer än ett medium eller lagrad energi: resttryck, fallande delar på grund av gravitation, tröghetsrörelse, fjädrar, hydraulackumulatorer, drivsystem som håller position. I sådana system behöver “avstängning” inte innebära ett säkert tillstånd för den person som utför omställning, rengöring eller lossning av ett stopp. Den konstruktionsmässiga konsekvensen är enkel: om frånskiljningsfunktionen inte omfattar avledning av restenergi eller kontrollerat bibehållande av ett säkert tillstånd, måste man räkna inte bara med omarbetning av installationen utan också med ansvar för felaktigt definierade användningsbegränsningar. I praktiken är det värt att bedöma tre saker innan konceptet godkänns: om det efter frånskiljning finns kvar energi som kan orsaka rörelse, om operatören kan verifiera detta utan att demontera skydd samt om återinkoppling av matningen automatiskt återställer möjligheten till start.

Ett typiskt exempel gäller en station med pneumatiska drivsystem där man har antagit att en central avstängningsventil är en tillräcklig lösning. På schemat ser det korrekt ut, men under drift visar det sig att vissa cylindrar håller positionen tack vare lokalt instängt tryck, och när matningen återkommer går systemet tillbaka till beredskapsläge snabbare än vad personalens arbetssekvens förutsätter. Då beror kostnaden inte enbart på att man måste lägga till avluftningsventiler eller mekaniska spärrar. Till detta kommer stopp i godkännandeprocessen, uppdatering av dokumentation, ny kontroll av styrlogiken och ibland även ändrade instruktioner och utbildning. Det är just då frågan går från ett enkelt val av frånskiljningskomponent till området för praktisk riskbedömning enligt ISO 12100: man måste utgå från verkliga arbetsmoment, förutsebara mänskliga fel och hur tillträde till riskområdet sker. I hydrauliska system tillkommer dessutom frågan om avledning av energi försämrar lastens stabilitet; då måste konstruktionsbeslutet läsas tillsammans med kraven för säker styrning och upprätthållande av tryck i systemet.

Först i detta skede hjälper hänvisningen till ISO 14118 att strukturera beslutet, men den ersätter det inte. Standarden anger riktningen: att förebygga oväntad start genom korrekt frånskiljning, avledning eller kontroll av energi samt genom organisatoriska och tekniska åtgärder som är anpassade till de förutsebara ingreppen. Om diskussionen i teamet däremot gäller om en viss åtgärd är “service med maskinen stoppad” eller redan ett ingrepp som kräver fullständig energiisolering, är det en signal om att man måste gå tillbaka till den metodik för identifiering av riskkällor enligt ISO 12100 som används i praktiken, i stället för att söka svaret i själva schemat. När lösningen i sin tur bygger på att ett skydd öppnas och tillträdet spärras uppstår snabbt ett andra problem: om konstruktionen inte uppmuntrar till att skyddet kringgås därför att frånskiljningsproceduren är för långsam eller för besvärlig. Då övergår frågan naturligt också till att begränsa manipulering av skyddsanordningar. För projektledaren är det viktigaste beslutskriteriet därför inte “vilken apparat ska användas”, utan “ger den valda frånskiljningsmetoden ett repeterbart, verifierbart säkert tillstånd för den aktuella åtgärden och den aktuella åtkomsten”. Om svaret inte är entydigt kommer kostnaden att öka senare, vanligtvis i ett mindre kontrollerat skede av projektet.

Hur man angriper frågan i praktiken

I praktiken börjar frågan om skydd mot oväntad start inte med valet av frånskiljare, ventil eller avställningsprocedur, utan med att tydliggöra vilka ingrepp som faktiskt ska utföras på maskinen och i vilket tekniskt tillstånd den då ska befinna sig. Det avgörandet påverkar direkt systemets arkitektur, dokumentationens omfattning, idrifttagningstiden och ansvaret på tillverkarens eller integratörens sida. Om projektgruppen utgår från ett alltför milt antagande och behandlar en serviceåtgärd som vanlig hantering vid stopp, kommer risken tillbaka vid mottagningskontroll, validering eller först efter att maskinen tagits i drift. Om antagandet i stället blir alltför restriktivt, ökar kostnaden genom mer omfattande frånkopplingssystem, extra apparater, mer komplexa sekvenser och lägre teknisk tillgänglighet. Därför bör det praktiska beslutskriteriet vara ett enda: om det för den aktuella åtgärden går att uppnå och bekräfta ett säkert tillstånd som eliminerar möjligheten till oavsiktlig rörelse och okontrollerad frigörelse av energi.

Det innebär att chef eller produktägare bör kräva att teamet beskriver åtgärderna inte utifrån maskinens funktioner, utan utifrån åtkomst och energi. Man måste veta vem som går in i zonen, vad personen rör vid, vilka skydd som öppnas, vilka drivningar som kan ge upphov till efterrörelse och var det finns kvar tryck, gravitationslast eller lagrad energi i elastiska komponenter. Först på den grunden går det att avgöra om det räcker att bryta ett medium eller om flera energikällor måste isoleras, energin avledas och återinkoppling förhindras. Här övergår frågan naturligt till en praktisk riskbedömning enligt ISO 12100: om tvisten gäller gränsen mellan “stopp för ingrepp” och “arbete som kräver fullständig isolering”, är det inte längre ett problem med den utförande apparaten utan med klassificering av faran, förutsebar användning och felaktigt antagna användarbeteenden.

Ett bra exempel är en station med elektrisk drivning och pneumatiska cylindrar, där operatören med jämna mellanrum går in för att avlägsna material som fastnat. Formellt kan maskinen vara stoppad, men det avgör ännu inte om ingreppet är säkert. Om det efter stopp fortfarande finns tryck som kan förflytta ett arbetsorgan eller om drivningen kan aktiveras på nytt av automatiken, löser inte enbart kommandot “stopp” problemet. Projekteringsbeslutet bör då inte bara besvara frågan om hur energin ska brytas, utan också hur användaren ska kunna se att ett säkert tillstånd faktiskt har uppnåtts och bibehålls. Om den procedur som krävs är lång, obekväm eller oklar, ökar risken för att skydden kringgås, och då uppstår ytterligare ett konstruktionsproblem kopplat till manipulationsbenägenhet. Det kostar vanligtvis mer än att identifiera situationen korrekt från början, eftersom senare korrigeringar inte längre omfattar en enskild apparat utan styrlogik, skydd, instruktion och validering.

• om frånkopplingen omfattar alla energier som kan orsaka rörelse eller frigöra en fara,
• om det säkra tillståndet är synligt eller på annat sätt entydigt verifierbart,
• om återinkoppling kräver en medveten handling och inte sker automatiskt när matningen återställs.

Först efter en sådan strukturering är det meningsfullt att gå vidare till normativa hänvisningar. När skyddsåtgärden bygger på att en funktion utförs av styrsystemet och inte enbart genom mekanisk isolering av energi, hamnar frågan inom området för krav på säkerhetsfunktioner och deras tillförlitlighet. När det däremot är avgörande att fastställa om ett visst ingrepp kräver fullständig frånkoppling eller om en annan skyddsmetod är tillåten, måste man återvända till en metodisk identifiering av faror enligt ISO 12100. I praktiskt konstruktionsarbete är detta inte separata världar, utan successive lager i samma beslut. ISO 14118 strukturerar sättet att tänka kring frånkoppling och förebyggande av oväntad start, men befriar inte teamet från att visa att lösningen är adekvat för den avsedda åtgärden, robust mot typiska kringgåenden och möjlig att validera utan att lämna “gråzoner” i ansvarsfördelningen.

Vad man ska se upp med vid införandet

Det vanligaste felet när man inför skydd mot oväntad start är att teamet behandlar frånkoppling av energi som ett enkelt val av apparat, när det i själva verket handlar om ett beslut om gränserna för ansvar inom drift, underhåll och konstruktion. Om lösningen inte tydligt anger vem som får gå in i riskområdet, när det får ske och i vilket maskintillstånd, så eliminerar inte ens en tekniskt korrekt frånkopplingslösning risken. Konsekvenserna för projektet blir vanligtvis kostsamma: sena korrigeringar i dokumentationen, komplettering av elskåp, ändringar i styrlogiken och till sist en tvist om huruvida tillverkaren har förutsett rätt sätt att ingripa. Det praktiska bedömningskriteriet är här enkelt: innan lösningen godkänns måste man för varje planerad åtgärd kunna visa om frånkopplingen faktiskt eliminerar möjligheten till rörelse, energiutlösning eller återstart utan en medveten mänsklig handling.

I konstruktionsfasen är lösningar som är “nästan tillräckliga” särskilt riskfyllda, det vill säga sådana som kopplar bort huvudmatningen men lämnar hjälpkraftkällor, lagrad energi eller möjlighet till rörelse orsakad utifrån. I praktiken gäller detta pneumatiska system med resttryck, vertikala axlar som hålls av en broms, komponenter med tröghet, hållkretsar och drivsystem som återgår till den automatiska sekvensen när spänningen kommer tillbaka. Om dessa fenomen inte identifieras från början uppstår kostnaden inte bara vid inköp av ytterligare komponenter. Även kostnaderna för idrifttagning och validering ökar, eftersom teamet måste bevisa att lösningen är säker trots att arkitekturen från början inte omfattade alla gränstillstånd. Ett bra beslutsmått här är inte antalet använda frånskiljare, utan hur många energiformer och driftlägen teamet kan beskriva vägen till ett säkert tillstånd för, samt hur det ska bekräftas att detta tillstånd har uppnåtts.

Ett bra exempel på en praktisk fallgrop är ett serviceingrepp som formellt inte kräver att man går “djupt” in i maskinen, men som ändå kräver att ett skydd öppnas och att man sträcker sig in i ett område där hjälprörelse eller rörelse till följd av styrsekvensen fortfarande finns kvar. I sådana fall övergår beslutet om enbart frånkoppling av energi snabbt till två närliggande områden. För det första måste man återgå till en metodisk riskbedömning för den aktuella åtgärden, eftersom det är den som avgör om fullständig isolering av all energi är nödvändig eller om man kan påvisa en likvärdig skyddsåtgärd. För det andra, om operatörer eller underhållspersonal regelbundet kommer att kringgå den föreskrivna proceduren, är problemet inte längre enbart en fråga om ISO 14118 utan går över i området manipulation av skyddsanordningar och kringgåenden. Detta är viktigt ur ansvarssynpunkt: en lösning som bara fungerar när användaren agerar på ett sätt som är osannolikt i verklig drift är svag, inte för att den är felaktig “på papperet”, utan för att konstruktionen inte tog hänsyn till människors förutsebara beteende.

Det är just därför hänvisningen till ISO 14118 bör komma sist, som en strukturering av besluten och inte som en ersättning för analysen. Om nyckelfrågan är om ett visst ingrepp kräver fullständig frånkoppling av alla energier, är den rätta fortsättningen en riskbedömning enligt ISO 12100, och i mer komplexa fall även den praxis för riskuppskattning som beskrivs i hjälpdokument. Om problemet däremot blir att lösningen är sårbar för medvetet kringgående, är området låsanordningar och åtgärder mot manipulation ett naturligt komplement. För konstruktionsteamet betyder detta en sak: beslutet om systemet för frånkoppling ska godkännas först när det kan försvaras samtidigt tekniskt, organisatoriskt och i drift. Annars förvandlas en inledande besparing mycket lätt till försenad slutbesiktning, kostnader för ombyggnad eller ett ansvar som är svårt att avgränsa för tillverkaren eller integratören.