في السنوات القليلة الماضية ، لعبت المعالجات الدقيقة دورًا متزايدًا في مجال تكنولوجيا السلامة. نظرًا لأن أجهزة الكمبيوتر بأكملها (أي وحدة المعالجة المركزية والذاكرة والمكونات الطرفية) متوفرة الآن في مكون واحد مثل "أجهزة كمبيوتر أحادية الشريحة" ، يتم استخدام تقنية المعالجات الدقيقة ليس فقط في التحكم المعقد في الماكينة ، ولكن أيضًا في ضمانات التصميم البسيط نسبيًا (على سبيل المثال ، شبكات الإضاءة وأجهزة التحكم ثنائية اليد وحواف الأمان). يتكون البرنامج الذي يتحكم في هذه الأنظمة ما بين ألف وعدة عشرات الآلاف من الأوامر الفردية ويتكون عادة من عدة مئات من فروع البرنامج. تعمل البرامج في الوقت الفعلي وتتم كتابتها في الغالب بلغة تجميع المبرمجين.

اقترن إدخال الأنظمة التي يتم التحكم فيها بواسطة الكمبيوتر في مجال تكنولوجيا السلامة في جميع المعدات التقنية واسعة النطاق ليس فقط بمشاريع البحث والتطوير باهظة الثمن ولكن أيضًا بقيود كبيرة مصممة لتعزيز السلامة. (يمكن الاستشهاد هنا بتكنولوجيا الفضاء والتكنولوجيا العسكرية وتكنولوجيا الطاقة الذرية كأمثلة للتطبيقات واسعة النطاق.) لم يتم حتى الآن التعامل مع المجال الجماعي للإنتاج الصناعي الضخم إلا بطريقة محدودة للغاية. ويرجع هذا جزئيًا إلى السبب في أن الدورات السريعة للابتكار المميز لتصميم الآلات الصناعية تجعل من الصعب ، بأي طريقة ولكن بطريقة مقيدة للغاية ، نقل مثل هذه المعرفة التي قد يتم اشتقاقها من المشاريع البحثية المعنية بالاختبار النهائي للمقياس الكبير. أجهزة أمان. وهذا يجعل تطوير إجراءات تقييم سريعة ومنخفضة التكلفة أمرًا مطلوبًا (Reinert and Reuss 1991).

تبحث هذه المقالة أولاً في الآلات والمرافق التي تؤدي فيها أنظمة الكمبيوتر حاليًا مهام السلامة ، وذلك باستخدام أمثلة على الحوادث التي تحدث بكثرة في مجال ضمانات الماكينة لتوضيح الدور المعين الذي تلعبه أجهزة الكمبيوتر في تكنولوجيا السلامة. تعطي هذه الحوادث بعض المؤشرات حول الاحتياطات التي يجب اتخاذها حتى لا تؤدي معدات السلامة التي يتم التحكم فيها بواسطة الكمبيوتر والتي يتم استخدامها حاليًا على نطاق واسع إلى زيادة عدد الحوادث. يوضح القسم الأخير من المقالة إجراءً سيمكن حتى أنظمة الكمبيوتر الصغيرة من الوصول إلى مستوى مناسب من الأمان التقني على حساب مبرر وفي غضون فترة زمنية مقبولة. يتم حاليًا إدخال المبادئ المشار إليها في هذا الجزء الأخير في إجراءات التقييس الدولية وسيكون لها آثار على جميع مجالات تكنولوجيا السلامة التي تجد فيها أجهزة الكمبيوتر تطبيقًا.

أمثلة على استخدام البرامج وأجهزة الكمبيوتر في مجال ضمانات الماكينة

توضح الأمثلة الأربعة التالية أن البرامج وأجهزة الكمبيوتر تدخل حاليًا بشكل متزايد في التطبيقات المتعلقة بالسلامة في المجال التجاري.

تتكون تركيبات إشارات الطوارئ الشخصية ، كقاعدة عامة ، من محطة استقبال مركزية وعدد من أجهزة إشارات الطوارئ الشخصية. يتم حمل الأجهزة من قبل أشخاص يعملون في الموقع بأنفسهم. إذا وجد أي من هؤلاء الأشخاص الذين يعملون بمفردهم أنفسهم في حالة طوارئ ، فيمكنهم استخدام الجهاز لإصدار إنذار عن طريق إشارة الراديو في محطة الاستقبال المركزية. يمكن أيضًا استكمال هذا الإنذار المعتمد على الإرادة بآلية إطلاق مستقلة عن الإرادة يتم تنشيطها بواسطة أجهزة استشعار مدمجة في أجهزة الطوارئ الشخصية. غالبًا ما يتم التحكم في كل من الأجهزة الفردية ومحطة الاستقبال المركزية بواسطة أجهزة كمبيوتر صغيرة. من المتصور أن فشل الوظائف الفردية المحددة للكمبيوتر المدمج يمكن أن يؤدي ، في حالة الطوارئ ، إلى فشل في إطلاق الإنذار. لذلك يجب اتخاذ الاحتياطات اللازمة لإدراك هذا الفقد الوظيفي وإصلاحه في الوقت المناسب.

المطابع المستخدمة اليوم لطباعة المجلات هي آلات كبيرة. عادةً ما يتم تحضير الشبكات الورقية بواسطة آلة منفصلة بطريقة تتيح الانتقال السلس إلى لفة ورق جديدة. يتم طي الصفحات المطبوعة بواسطة آلة طي ، ثم يتم العمل عليها من خلال سلسلة من الآلات الأخرى. ينتج عن هذا منصات محملة بمجلات مخيطة بالكامل. على الرغم من أن هذه المصانع مؤتمتة ، إلا أن هناك نقطتين يجب إجراء تدخلات يدوية عندهما: (1) في خيوط مسارات الورق ، و (2) في إزالة العوائق الناتجة عن تمزق الورق في نقاط الخطر على الأسطوانات الدوارة. لهذا السبب ، يجب أن تضمن تقنية التحكم سرعة تشغيل منخفضة أو وضع مسار أو ركض محدود زمنياً أثناء ضبط المكابس. نظرًا لإجراءات التوجيه المعقدة المتضمنة ، يجب أن تكون كل محطة طباعة مفردة مجهزة بوحدة التحكم المنطقية القابلة للبرمجة الخاصة بها. يجب منع أي فشل يحدث في التحكم في مصنع الطباعة أثناء فتح شبكات الحماية من أن يؤدي إما إلى بدء التشغيل غير المتوقع لآلة متوقفة أو إلى التشغيل بما يتجاوز السرعات المخفضة بشكل مناسب.

في المصانع والمستودعات الكبيرة ، تتحرك المركبات الآلية الموجهة بدون سائق على مسارات محددة بشكل خاص. يمكن للأشخاص السير على هذه المسارات في أي وقت ، أو قد يتم ترك المواد والمعدات عن غير قصد على المسارات ، حيث لا يتم فصلها هيكليًا عن خطوط المرور الأخرى. لهذا السبب ، يجب استخدام نوع من معدات منع الاصطدام لضمان توقف السيارة قبل حدوث أي تصادم خطير مع شخص أو شيء. في التطبيقات الحديثة ، يتم منع الاصطدام عن طريق الماسحات الضوئية فوق الصوتية أو الليزر المستخدمة مع مصد أمان. نظرًا لأن هذه الأنظمة تعمل تحت سيطرة الكمبيوتر ، فمن الممكن تكوين عدة مناطق كشف دائمة بحيث يمكن للسيارة تعديل رد فعلها اعتمادًا على منطقة الكشف المحددة التي يوجد بها الشخص. يجب ألا يؤدي الفشل في جهاز الحماية إلى اصطدام خطير بشخص ما.

تستخدم مقصلة جهاز التحكم في قطع الورق للضغط ثم قطع أكوام الورق السميكة. يتم تشغيلها بواسطة جهاز تحكم ثنائي اليد. يجب على المستخدم الوصول إلى منطقة الخطر بالماكينة بعد إجراء كل عملية قطع. يتم استخدام حماية غير مادية ، عادة ما تكون شبكة خفيفة ، جنبًا إلى جنب مع كل من جهاز التحكم اليدوي ونظام التحكم الآمن في الماكينة لمنع الإصابات عند تغذية الورق أثناء عملية القطع. يتم التحكم تقريبًا في جميع المقصلة الأكبر والأكثر حداثة المستخدمة اليوم بواسطة أنظمة الحواسيب الصغيرة متعددة القنوات. يجب أيضًا ضمان التشغيل اليدوي وشبكة الإضاءة للعمل بأمان.

حوادث مع أنظمة التحكم بالكمبيوتر

في جميع مجالات التطبيقات الصناعية تقريبًا ، تم الإبلاغ عن حوادث مع البرامج وأجهزة الكمبيوتر (Neumann 1994). في معظم الحالات ، لا تؤدي أعطال الكمبيوتر إلى إصابة الأشخاص. لا يتم الإعلان عن مثل هذه الإخفاقات على أي حال إلا عندما تكون ذات مصلحة عامة. وهذا يعني أن حالات الأعطال أو الحوادث المتعلقة بأجهزة الكمبيوتر والبرامج التي تتورط فيها إصابة الأشخاص تشكل نسبة عالية نسبيًا من جميع الحالات المعلن عنها. لسوء الحظ ، لا يتم التحقيق في الحوادث التي لا تسبب الكثير من ضجة الجمهور فيما يتعلق بأسبابها بنفس الشدة مثل الحوادث الأكثر بروزًا ، عادةً في المصانع واسعة النطاق. لهذا السبب ، تشير الأمثلة التالية إلى أربعة أوصاف للأعطال أو الحوادث النموذجية للأنظمة التي يتحكم فيها الكمبيوتر خارج مجال ضمانات الماكينة ، والتي تُستخدم لاقتراح ما يجب أخذه في الاعتبار عند إصدار الأحكام المتعلقة بتكنولوجيا السلامة.

حوادث ناجمة عن أعطال عشوائية في الأجهزة

كان سبب الحادث التالي هو تركيز الأعطال العشوائية في الأجهزة مصحوبًا بفشل البرمجة: مفاعل محموم في مصنع كيميائي ، حيث تم فتح صمامات التنفيس ، مما يسمح بتفريغ محتويات المفاعل في الغلاف الجوي. حدث هذا الحادث بعد وقت قصير من تلقي تحذير بأن مستوى الزيت في علبة التروس كان منخفضًا جدًا. أظهر التحقيق الدقيق في الحادث أنه بعد وقت قصير من بدء المحفز التفاعل في المفاعل - ونتيجة لذلك كان المفاعل يحتاج إلى مزيد من التبريد - قام الكمبيوتر ، على أساس تقرير انخفاض مستويات الزيت في علبة التروس ، بتجميد الكل المقادير الخاضعة لسيطرتها بقيمة ثابتة. أدى ذلك إلى الحفاظ على تدفق الماء البارد عند مستوى منخفض جدًا مما أدى إلى ارتفاع درجة حرارة المفاعل نتيجة لذلك. أظهر مزيد من التحقيق أن مؤشر انخفاض مستويات النفط قد تم الإشارة إليه بواسطة مكون خاطئ.

استجاب البرنامج وفقًا للمواصفات مع إطلاق الإنذار وتثبيت جميع المتغيرات التشغيلية. كان هذا نتيجة لدراسة HAZOP (تحليل المخاطر وقابلية التشغيل) (Knowlton 1986) التي أجريت قبل الحدث ، والتي تطلبت عدم تعديل جميع المتغيرات الخاضعة للرقابة في حالة الفشل. نظرًا لأن المبرمج لم يكن على دراية بالإجراء بالتفصيل ، فقد تم تفسير هذا المطلب على أنه يعني عدم تعديل المشغلات الخاضعة للرقابة (صمامات التحكم في هذه الحالة) ؛ لم يتم إيلاء اهتمام لإمكانية ارتفاع درجة الحرارة. لم يأخذ المبرمج في الاعتبار أنه بعد تلقي إشارة خاطئة ، قد يجد النظام نفسه في موقف ديناميكي من النوع الذي يتطلب التدخل النشط للكمبيوتر لمنع وقوع حادث مؤسف. كان الوضع الذي أدى إلى وقوع الحادث غير محتمل ، علاوة على ذلك ، أنه لم يتم تحليله بالتفصيل في دراسة HAZOP (Levenson 1986). يوفر هذا المثال الانتقال إلى فئة ثانية من أسباب حوادث البرامج والكمبيوتر. هذه هي الإخفاقات المنهجية الموجودة في النظام منذ البداية ، ولكنها تظهر فقط في بعض المواقف المحددة للغاية التي لم يأخذها المطور في الاعتبار.

الحوادث الناجمة عن فشل التشغيل

في الاختبار الميداني أثناء الفحص النهائي للروبوتات ، استعار أحد الفنيين شريط كاسيت لروبوت مجاور واستبدل بآخر آخر دون إبلاغ زميله أنه فعل ذلك. عند عودته إلى مكان عمله ، أدخل الزميل الكاسيت الخطأ. منذ أن وقف بجانب الروبوت وتوقع سلسلة معينة من الحركات منه - تسلسل ظهر بشكل مختلف على حساب البرنامج المتبادل - حدث تصادم بين الإنسان الآلي والإنسان. يصف هذا الحادث المثال الكلاسيكي لفشل التشغيل. دور مثل هذه الإخفاقات في الأعطال والحوادث آخذ في الازدياد حاليًا بسبب التعقيد المتزايد في تطبيق آليات الأمان التي يتحكم فيها الكمبيوتر.

الحوادث الناتجة عن الأعطال المنهجية في الأجهزة أو البرامج

كان من المقرر إطلاق طوربيد برأس حربي لأغراض تدريبية من سفينة حربية في أعالي البحار. بسبب وجود خلل في جهاز القيادة ، ظل الطوربيد في أنبوب الطوربيد. قرر القبطان العودة إلى الميناء الرئيسي لإنقاذ الطوربيد. انفجر الطوربيد بعد فترة وجيزة من عودة السفينة إلى الوطن. كشف تحليل للحادث أن مطوري الطوربيد قد اضطروا إلى بناء آلية في الطوربيد مصممة لمنع عودتها إلى منصة الإطلاق بعد إطلاقها وبالتالي تدمير السفينة التي أطلقتها. كانت الآلية المختارة لذلك على النحو التالي: بعد إطلاق الطوربيد ، تم إجراء فحص ، باستخدام نظام الملاحة بالقصور الذاتي ، لمعرفة ما إذا كان مساره قد تغير بمقدار 180 درجة. بمجرد أن شعر الطوربيد بأنه تحول إلى 180 درجة ، انفجر الطوربيد على الفور ، من المفترض أنه على مسافة آمنة من منصة الإطلاق. تم تشغيل آلية الكشف هذه في حالة الطوربيد الذي لم يتم إطلاقه بشكل صحيح ، مما أدى إلى انفجار الطوربيد بعد أن غيرت السفينة مسارها بمقدار 180 درجة. هذا مثال نموذجي لحادث وقع بسبب عطل في المواصفات. الشرط الوارد في المواصفات أن الطوربيد لا ينبغي أن يدمر سفينته إذا لم يكن تغيير مساره قد صيغ بدقة كافية ؛ وهكذا تمت برمجة الاحتياط بشكل خاطئ. أصبح الخطأ واضحًا فقط في حالة معينة ، لم يأخذها المبرمج في الاعتبار كاحتمال.

في 14 سبتمبر 1993 ، تحطمت طائرة لوفتهانزا إيرباص 320 أثناء هبوطها في وارسو (الشكل 1). أظهر تحقيق دقيق في الحادث أن التعديلات التي أدخلت على منطق هبوط الكمبيوتر الموجود على متن الطائرة بعد وقوع حادث مع طائرة من طراز Lauda Air Boeing 767 في عام 1991 كانت مسؤولة جزئيًا عن هذا الهبوط. ما حدث في حادث عام 1991 هو أن الانحراف الدافع ، الذي يحول جزءًا من غازات المحرك لإيقاف الطائرة أثناء الهبوط ، قد اشتغل أثناء وجوده في الهواء ، مما دفع الماكينة إلى الانزلاق في أنف لا يمكن السيطرة عليه. لهذا السبب ، تم بناء قفل إلكتروني لانحراف الدفع في آلات إيرباص. سمحت هذه الآلية بأن يدخل انحراف الدفع حيز التنفيذ فقط بعد أن أشارت المستشعرات الموجودة في مجموعتي معدات الهبوط إلى ضغط ماصات الصدمات تحت ضغط العجلات التي تلامس لأسفل. بناءً على معلومات غير صحيحة ، توقع طيارو الطائرة في وارسو رياحًا جانبية قوية.

الشكل 1. لوفتهانزا إيرباص بعد حادث في وارسو 1993

لهذا السبب قاموا بإحضار الماكينة بإمالة طفيفة ولمست طائرة إيرباص بالعجلة اليمنى فقط ، تاركة المحمل الأيسر أقل من الوزن الكامل. بسبب القفل الإلكتروني لانحراف الدفع ، رفض الكمبيوتر الموجود على متن الطائرة للطيار لمدة تسع ثوانٍ مثل هذه المناورات التي كانت ستسمح للطائرة بالهبوط بأمان على الرغم من الظروف المعاكسة. يوضح هذا الحادث بوضوح شديد أن التعديلات في أنظمة الكمبيوتر يمكن أن تؤدي إلى مواقف جديدة وخطيرة إذا لم يتم النظر مسبقًا في نطاق عواقبها المحتملة.

يوضح المثال التالي للخلل أيضًا الآثار الكارثية التي يمكن أن يحدثها تعديل أمر واحد في أنظمة الكمبيوتر. يتم تحديد محتوى الكحول في الدم ، في الاختبارات الكيميائية ، باستخدام مصل الدم الصافي الذي تم منه طرد كريات الدم مسبقًا. وبالتالي فإن محتوى الكحول في المصل أعلى (بعامل 1.2) من محتوى الدم الكامل السميك. لهذا السبب يجب تقسيم قيم الكحول في مصل الدم على معامل 1.2 من أجل تحديد الأجزاء الهامة قانونياً وطبياً لكل ألف رقم. في الاختبار المشترك بين المختبرات الذي تم إجراؤه في عام 1984 ، تم التحقق من قيم الكحول في الدم في اختبارات متطابقة أجريت في مؤسسات بحثية مختلفة باستخدام مصل الدم تمت مقارنتها مع بعضها البعض. نظرًا لأنها كانت مسألة مقارنة فقط ، فقد تم محو أمر القسمة على 1.2 من البرنامج في إحدى المؤسسات طوال مدة التجربة. بعد انتهاء الاختبار بين المختبرات ، تم إدخال أمر الضرب في 1.2 خطأً في البرنامج في هذه البقعة. نتيجة لذلك ، تم حساب ما يقرب من 1,500 جزء لكل ألف قيمة غير صحيحة بين أغسطس 1984 ومارس 1985. كان هذا الخطأ حاسمًا للمهن المهنية لسائقي الشاحنات بمستويات كحول في الدم تتراوح بين 1.0 و 1.3 لكل ألف ، نظرًا لأن العقوبة القانونية التي تنطوي على مصادرة رخصة القيادة لفترة طويلة هي نتيجة 1.3 لكل ألف قيمة.

الحوادث الناتجة عن التأثيرات من ضغوط التشغيل أو من الضغوط البيئية

نتيجة للاضطراب الناجم عن جمع النفايات في المنطقة الفعالة لآلة التثقيب والقضم CNC (التحكم الرقمي بالكمبيوتر) ، يقوم المستخدم بتنفيذ "التوقف المبرمج". أثناء محاولته إزالة النفايات بيديه ، بدأ قضيب الدفع الخاص بالماكينة في التحرك على الرغم من التوقف المبرمج وأصاب المستخدم إصابة بالغة. كشف تحليل للحادث أنه لم يكن هناك خطأ في البرنامج. لا يمكن إعادة إنتاج بدء التشغيل غير المتوقع. وقد لوحظت مخالفات مماثلة في الماضي على أجهزة أخرى من نفس النوع. يبدو من المعقول أن نستنتج من هذه أن الحادث يجب أن يكون بسبب التداخل الكهرومغناطيسي. تم الإبلاغ عن حوادث مماثلة مع الروبوتات الصناعية من اليابان (Neumann 1987).

يوضح عطل في المسبار الفضائي فوييجر 2 في 18 يناير 1986 تأثير الضغوط البيئية على الأنظمة التي يتحكم فيها الكمبيوتر. قبل ستة أيام من أقرب اقتراب لأورانوس ، غطت حقول كبيرة من الخطوط بالأبيض والأسود الصور من فوييجر 2. أظهر تحليل دقيق أن بت واحد في كلمة أوامر للنظام الفرعي لبيانات الرحلة قد تسبب في الفشل ، كما لوحظ تم ضغط الصور في المسبار. من المرجح أن هذه القطعة قد خرجت من مكانها داخل ذاكرة البرنامج بسبب تأثير جسيم كوني. تم نقل الصور المضغوطة الخالية من الأخطاء من المسبار بعد يومين فقط ، باستخدام برنامج بديل قادر على تجاوز نقطة الذاكرة الفاشلة (Laeser و McLaughlin و Wolff 1987).

عرض ملخص الحوادث

تظهر الحوادث التي تم تحليلها أن بعض المخاطر التي قد يتم إهمالها في ظل ظروف باستخدام تقنية بسيطة وكهروميكانيكية ، تكتسب أهمية عند استخدام أجهزة الكمبيوتر. تسمح أجهزة الكمبيوتر بمعالجة وظائف السلامة المعقدة والخاصة بالوضع. ولهذا السبب ، تصبح المواصفات الواضحة والخالية من الأخطاء والكاملة والقابلة للاختبار لجميع وظائف السلامة مهمة بشكل خاص. يصعب اكتشاف الأخطاء في المواصفات وغالبًا ما تكون سببًا للحوادث في الأنظمة المعقدة. عادةً ما يتم تقديم عناصر تحكم قابلة للبرمجة بحرية بهدف القدرة على الاستجابة بمرونة وسرعة مع السوق المتغيرة. ومع ذلك ، فإن التعديلات - خاصة في الأنظمة المعقدة - لها آثار جانبية يصعب التنبؤ بها. لذلك يجب أن تخضع جميع التعديلات لإدارة رسمية صارمة لإجراء التغيير حيث يساعد الفصل الواضح بين وظائف السلامة والأنظمة الجزئية غير ذات الصلة بالسلامة في الحفاظ على سهولة مسح نتائج التعديلات على تكنولوجيا السلامة.

تعمل أجهزة الكمبيوتر بمستويات منخفضة من الكهرباء. ولذلك فهي عرضة للتداخل من مصادر الإشعاع الخارجية. نظرًا لأن تعديل إشارة واحدة بين الملايين يمكن أن يؤدي إلى عطل ، فإن الأمر يستحق إيلاء اهتمام خاص لموضوع التوافق الكهرومغناطيسي فيما يتعلق بأجهزة الكمبيوتر.

أصبحت خدمة الأنظمة التي يتحكم فيها الكمبيوتر حاليًا أكثر تعقيدًا وبالتالي أكثر غموضًا. لذلك أصبحت بيئة العمل البرمجية للمستخدم وبرامج التكوين أكثر إثارة للاهتمام من وجهة نظر تكنولوجيا السلامة.

لا يوجد نظام كمبيوتر قابل للاختبار بنسبة 100٪. تتطلب آلية التحكم البسيطة مع 32 منفذ إدخال ثنائي و 1,000 مسار برامج مختلف 4.3 × 10¹² اختبارات لفحص كامل. بمعدل 100 اختبار في الثانية يتم إجراؤها وتقييمها ، يستغرق الاختبار الكامل 1,362،XNUMX عامًا.

إجراءات وتدابير تحسين أجهزة السلامة التي يتحكم فيها الكمبيوتر

تم تطوير الإجراءات خلال السنوات العشر الماضية والتي تسمح بإتقان تحديات محددة متعلقة بالسلامة فيما يتعلق بأجهزة الكمبيوتر. هذه الإجراءات تتعامل مع أعطال الكمبيوتر الموضحة في هذا القسم. توضح الأمثلة الموصوفة للبرامج وأجهزة الكمبيوتر في إجراءات حماية الجهاز والحوادث التي تم تحليلها أن مدى الضرر وبالتالي أيضًا المخاطر التي تنطوي عليها التطبيقات المختلفة متغيرة للغاية. لذلك من الواضح أن الاحتياطات اللازمة لتحسين أجهزة الكمبيوتر والبرامج المستخدمة في تكنولوجيا السلامة يجب أن توضع فيما يتعلق بالمخاطر.

يوضح الشكل 2 إجراءً نوعيًا يمكن بموجبه تحديد الحد الضروري من المخاطر الذي يمكن الحصول عليه باستخدام أنظمة الأمان بشكل مستقل عن مدى وتكرار حدوث الضرر (Bell and Reinert 1992). يمكن ربط أنواع الأعطال في أنظمة الكمبيوتر التي تم تحليلها في قسم "الحوادث مع الأنظمة التي يتم التحكم فيها بواسطة الكمبيوتر" (أعلاه) مع ما يسمى بمستويات سلامة السلامة - أي ، التسهيلات التقنية للحد من المخاطر.

الشكل 2. الإجراء النوعي لتحديد المخاطر

يوضح الشكل 3 أن فعالية التدابير المتخذة ، في أي حالة معينة ، لتقليل الخطأ في البرامج وأجهزة الكمبيوتر يجب أن تنمو مع زيادة المخاطر (DIN 1994 ؛ IEC 1993).

الشكل 3 ، فعالية الاحتياطات المتخذة ضد الأخطاء بصرف النظر عن المخاطر

يوضح تحليل الحوادث الموضح أعلاه أن فشل الإجراءات الوقائية التي يتحكم فيها الكمبيوتر ناتج ليس فقط عن أخطاء عشوائية في المكونات ، ولكن أيضًا بسبب ظروف تشغيل معينة لم يأخذها المبرمج في الاعتبار. تشكل النتائج غير الواضحة على الفور لتعديلات البرنامج التي تم إجراؤها في سياق صيانة النظام مصدرًا إضافيًا للخطأ. ويترتب على ذلك أنه يمكن أن يكون هناك فشل في أنظمة السلامة التي يتم التحكم فيها بواسطة المعالجات الدقيقة والتي ، على الرغم من حدوثها أثناء تطوير النظام ، يمكن أن تؤدي إلى موقف خطير فقط أثناء التشغيل. لذلك يجب اتخاذ الاحتياطات اللازمة ضد مثل هذه الأعطال بينما تكون الأنظمة المتعلقة بالسلامة في مرحلة التطوير. يجب اتخاذ تدابير تجنب الفشل هذه ليس فقط خلال مرحلة المفهوم ، ولكن أيضًا في عملية التطوير والتركيب والتعديل. يمكن تجنب بعض حالات الفشل إذا تم اكتشافها وتصحيحها خلال هذه العملية (DIN 1990).

كما يوضح الحادث الأخير الموصوف ، فإن انهيار ترانزستور واحد يمكن أن يؤدي إلى عطل تقني لمعدات آلية شديدة التعقيد. نظرًا لأن كل دائرة مفردة تتكون من عدة آلاف من الترانزستورات والمكونات الأخرى ، يجب اتخاذ العديد من تدابير تجنب الفشل للتعرف على مثل هذه الإخفاقات عند التشغيل وبدء التفاعل المناسب في نظام الكمبيوتر. يصف الشكل 4 أنواع الأعطال في الأنظمة الإلكترونية القابلة للبرمجة بالإضافة إلى أمثلة على الاحتياطات التي يمكن اتخاذها لتجنب الأعطال في أنظمة الكمبيوتر والتحكم فيها (DIN 1990 ؛ IEC 1992).

الشكل 4. أمثلة على الاحتياطات المتخذة للسيطرة على وتجنب الأخطاء في أنظمة الكمبيوتر

إمكانيات وآفاق الأنظمة الإلكترونية القابلة للبرمجة في تكنولوجيا السلامة

أصبحت الآلات والمصانع الحديثة معقدة بشكل متزايد ويجب أن تحقق مهامًا أكثر شمولاً في فترات زمنية أقصر من أي وقت مضى. لهذا السبب ، استحوذت أنظمة الكمبيوتر على جميع مجالات الصناعة تقريبًا منذ منتصف السبعينيات. ساهمت هذه الزيادة في التعقيد وحدها بشكل كبير في ارتفاع التكاليف التي ينطوي عليها تحسين تكنولوجيا السلامة في مثل هذه الأنظمة. على الرغم من أن البرامج وأجهزة الكمبيوتر تشكل تحديًا كبيرًا للسلامة في مكان العمل ، إلا أنها تتيح أيضًا تنفيذ أنظمة جديدة صديقة للخطأ في مجال تكنولوجيا السلامة.

سوف تساعد الآية المضحكة ولكن الإرشادية التي كتبها إرنست جاندل في شرح المقصود بالمفهوم صديق للخطأ. "Lichtung: Manche meinen lechts und rinks kann man nicht velwechsern ، werch ein Illtum". ("Dilection: لا يمكن تغيير الكثير من الضوء والذكاء ، يا له من ellol".) على الرغم من تبادل الرسائل r و l، يمكن فهم هذه العبارة بسهولة من قبل شخص بالغ عادي. حتى شخص بطلاقة منخفضة في اللغة الإنجليزية يمكنه ترجمتها إلى الإنجليزية. ومع ذلك ، فإن المهمة تكاد تكون مستحيلة بالنسبة لجهاز كمبيوتر مترجم بمفرده.

يوضح هذا المثال أنه يمكن للإنسان أن يتفاعل بطريقة صديقة للخطأ أكثر بكثير من كمبيوتر اللغة. هذا يعني أن البشر ، مثل جميع الكائنات الحية الأخرى ، يمكنهم تحمل الفشل من خلال إحالتهم إلى التجربة. إذا نظر المرء إلى الآلات المستخدمة اليوم ، يمكن للمرء أن يرى أن غالبية الآلات تعاقب فشل المستخدم ليس بحادث ، ولكن مع انخفاض في الإنتاج. تؤدي هذه الملكية إلى التلاعب بالضمانات أو التهرب منها. تضع تكنولوجيا الكمبيوتر الحديثة الأنظمة تحت تصرف سلامة العمل والتي يمكن أن تتفاعل بذكاء - أي بطريقة معدلة. ومن ثم ، فإن مثل هذه الأنظمة تجعل من الممكن أسلوب سلوك غير مناسب للخطأ في الآلات الجديدة. إنهم يحذرون المستخدمين أثناء عملية خاطئة أولاً وقبل كل شيء ويغلقون الجهاز فقط عندما تكون هذه هي الطريقة الوحيدة لتجنب وقوع حادث. يُظهر تحليل الحوادث أن هناك إمكانية كبيرة في هذا المجال لتقليل الحوادث (Reinert and Reuss 1991).

الرجوع