في السنوات القليلة الماضية ، لعبت المعالجات الدقيقة دورًا متزايدًا في مجال تكنولوجيا السلامة. نظرًا لأن أجهزة الكمبيوتر بأكملها (أي وحدة المعالجة المركزية والذاكرة والمكونات الطرفية) متوفرة الآن في مكون واحد مثل "أجهزة كمبيوتر أحادية الشريحة" ، يتم استخدام تقنية المعالجات الدقيقة ليس فقط في التحكم المعقد في الماكينة ، ولكن أيضًا في ضمانات التصميم البسيط نسبيًا (على سبيل المثال ، شبكات الإضاءة وأجهزة التحكم ثنائية اليد وحواف الأمان). يتكون البرنامج الذي يتحكم في هذه الأنظمة ما بين ألف وعدة عشرات الآلاف من الأوامر الفردية ويتكون عادة من عدة مئات من فروع البرنامج. تعمل البرامج في الوقت الفعلي وتتم كتابتها في الغالب بلغة تجميع المبرمجين.

اقترن إدخال الأنظمة التي يتم التحكم فيها بواسطة الكمبيوتر في مجال تكنولوجيا السلامة في جميع المعدات التقنية واسعة النطاق ليس فقط بمشاريع البحث والتطوير باهظة الثمن ولكن أيضًا بقيود كبيرة مصممة لتعزيز السلامة. (يمكن الاستشهاد هنا بتكنولوجيا الفضاء والتكنولوجيا العسكرية وتكنولوجيا الطاقة الذرية كأمثلة للتطبيقات واسعة النطاق.) لم يتم حتى الآن التعامل مع المجال الجماعي للإنتاج الصناعي الضخم إلا بطريقة محدودة للغاية. ويرجع هذا جزئيًا إلى السبب في أن الدورات السريعة للابتكار المميز لتصميم الآلات الصناعية تجعل من الصعب ، بأي طريقة ولكن بطريقة مقيدة للغاية ، نقل مثل هذه المعرفة التي قد يتم اشتقاقها من المشاريع البحثية المعنية بالاختبار النهائي للمقياس الكبير. أجهزة أمان. وهذا يجعل تطوير إجراءات تقييم سريعة ومنخفضة التكلفة أمرًا مطلوبًا (Reinert and Reuss 1991).

تبحث هذه المقالة أولاً في الآلات والمرافق التي تؤدي فيها أنظمة الكمبيوتر حاليًا مهام السلامة ، وذلك باستخدام أمثلة على الحوادث التي تحدث بكثرة في مجال ضمانات الماكينة لتوضيح الدور المعين الذي تلعبه أجهزة الكمبيوتر في تكنولوجيا السلامة. تعطي هذه الحوادث بعض المؤشرات حول الاحتياطات التي يجب اتخاذها حتى لا تؤدي معدات السلامة التي يتم التحكم فيها بواسطة الكمبيوتر والتي يتم استخدامها حاليًا على نطاق واسع إلى زيادة عدد الحوادث. يوضح القسم الأخير من المقالة إجراءً سيمكن حتى أنظمة الكمبيوتر الصغيرة من الوصول إلى مستوى مناسب من الأمان التقني على حساب مبرر وفي غضون فترة زمنية مقبولة. يتم حاليًا إدخال المبادئ المشار إليها في هذا الجزء الأخير في إجراءات التقييس الدولية وسيكون لها آثار على جميع مجالات تكنولوجيا السلامة التي تجد فيها أجهزة الكمبيوتر تطبيقًا.

أمثلة على استخدام البرامج وأجهزة الكمبيوتر في مجال ضمانات الماكينة

توضح الأمثلة الأربعة التالية أن البرامج وأجهزة الكمبيوتر تدخل حاليًا بشكل متزايد في التطبيقات المتعلقة بالسلامة في المجال التجاري.

تتكون تركيبات إشارات الطوارئ الشخصية ، كقاعدة عامة ، من محطة استقبال مركزية وعدد من أجهزة إشارات الطوارئ الشخصية. يتم حمل الأجهزة من قبل أشخاص يعملون في الموقع بأنفسهم. إذا وجد أي من هؤلاء الأشخاص الذين يعملون بمفردهم أنفسهم في حالة طوارئ ، فيمكنهم استخدام الجهاز لإصدار إنذار عن طريق إشارة الراديو في محطة الاستقبال المركزية. يمكن أيضًا استكمال هذا الإنذار المعتمد على الإرادة بآلية إطلاق مستقلة عن الإرادة يتم تنشيطها بواسطة أجهزة استشعار مدمجة في أجهزة الطوارئ الشخصية. غالبًا ما يتم التحكم في كل من الأجهزة الفردية ومحطة الاستقبال المركزية بواسطة أجهزة كمبيوتر صغيرة. من المتصور أن فشل الوظائف الفردية المحددة للكمبيوتر المدمج يمكن أن يؤدي ، في حالة الطوارئ ، إلى فشل في إطلاق الإنذار. لذلك يجب اتخاذ الاحتياطات اللازمة لإدراك هذا الفقد الوظيفي وإصلاحه في الوقت المناسب.

المطابع المستخدمة اليوم لطباعة المجلات هي آلات كبيرة. عادةً ما يتم تحضير الشبكات الورقية بواسطة آلة منفصلة بطريقة تتيح الانتقال السلس إلى لفة ورق جديدة. يتم طي الصفحات المطبوعة بواسطة آلة طي ، ثم يتم العمل عليها من خلال سلسلة من الآلات الأخرى. ينتج عن هذا منصات محملة بمجلات مخيطة بالكامل. على الرغم من أن هذه المصانع مؤتمتة ، إلا أن هناك نقطتين يجب إجراء تدخلات يدوية عندهما: (1) في خيوط مسارات الورق ، و (2) في إزالة العوائق الناتجة عن تمزق الورق في نقاط الخطر على الأسطوانات الدوارة. لهذا السبب ، يجب أن تضمن تقنية التحكم سرعة تشغيل منخفضة أو وضع مسار أو ركض محدود زمنياً أثناء ضبط المكابس. نظرًا لإجراءات التوجيه المعقدة المتضمنة ، يجب أن تكون كل محطة طباعة مفردة مجهزة بوحدة التحكم المنطقية القابلة للبرمجة الخاصة بها. يجب منع أي فشل يحدث في التحكم في مصنع الطباعة أثناء فتح شبكات الحماية من أن يؤدي إما إلى بدء التشغيل غير المتوقع لآلة متوقفة أو إلى التشغيل بما يتجاوز السرعات المخفضة بشكل مناسب.

في المصانع والمستودعات الكبيرة ، تتحرك المركبات الآلية الموجهة بدون سائق على مسارات محددة بشكل خاص. يمكن للأشخاص السير على هذه المسارات في أي وقت ، أو قد يتم ترك المواد والمعدات عن غير قصد على المسارات ، حيث لا يتم فصلها هيكليًا عن خطوط المرور الأخرى. لهذا السبب ، يجب استخدام نوع من معدات منع الاصطدام لضمان توقف السيارة قبل حدوث أي تصادم خطير مع شخص أو شيء. في التطبيقات الحديثة ، يتم منع الاصطدام عن طريق الماسحات الضوئية فوق الصوتية أو الليزر المستخدمة مع مصد أمان. نظرًا لأن هذه الأنظمة تعمل تحت سيطرة الكمبيوتر ، فمن الممكن تكوين عدة مناطق كشف دائمة بحيث يمكن للسيارة تعديل رد فعلها اعتمادًا على منطقة الكشف المحددة التي يوجد بها الشخص. يجب ألا يؤدي الفشل في جهاز الحماية إلى اصطدام خطير بشخص ما.

تستخدم مقصلة جهاز التحكم في قطع الورق للضغط ثم قطع أكوام الورق السميكة. يتم تشغيلها بواسطة جهاز تحكم ثنائي اليد. يجب على المستخدم الوصول إلى منطقة الخطر بالماكينة بعد إجراء كل عملية قطع. يتم استخدام حماية غير مادية ، عادة ما تكون شبكة خفيفة ، جنبًا إلى جنب مع كل من جهاز التحكم اليدوي ونظام التحكم الآمن في الماكينة لمنع الإصابات عند تغذية الورق أثناء عملية القطع. يتم التحكم تقريبًا في جميع المقصلة الأكبر والأكثر حداثة المستخدمة اليوم بواسطة أنظمة الحواسيب الصغيرة متعددة القنوات. يجب أيضًا ضمان التشغيل اليدوي وشبكة الإضاءة للعمل بأمان.

حوادث مع أنظمة التحكم بالكمبيوتر

في جميع مجالات التطبيقات الصناعية تقريبًا ، تم الإبلاغ عن حوادث مع البرامج وأجهزة الكمبيوتر (Neumann 1994). في معظم الحالات ، لا تؤدي أعطال الكمبيوتر إلى إصابة الأشخاص. لا يتم الإعلان عن مثل هذه الإخفاقات على أي حال إلا عندما تكون ذات مصلحة عامة. وهذا يعني أن حالات الأعطال أو الحوادث المتعلقة بأجهزة الكمبيوتر والبرامج التي تتورط فيها إصابة الأشخاص تشكل نسبة عالية نسبيًا من جميع الحالات المعلن عنها. لسوء الحظ ، لا يتم التحقيق في الحوادث التي لا تسبب الكثير من ضجة الجمهور فيما يتعلق بأسبابها بنفس الشدة مثل الحوادث الأكثر بروزًا ، عادةً في المصانع واسعة النطاق. لهذا السبب ، تشير الأمثلة التالية إلى أربعة أوصاف للأعطال أو الحوادث النموذجية للأنظمة التي يتحكم فيها الكمبيوتر خارج مجال ضمانات الماكينة ، والتي تُستخدم لاقتراح ما يجب أخذه في الاعتبار عند إصدار الأحكام المتعلقة بتكنولوجيا السلامة.

حوادث ناجمة عن أعطال عشوائية في الأجهزة

كان سبب الحادث التالي هو تركيز الأعطال العشوائية في الأجهزة مصحوبًا بفشل البرمجة: مفاعل محموم في مصنع كيميائي ، حيث تم فتح صمامات التنفيس ، مما يسمح بتفريغ محتويات المفاعل في الغلاف الجوي. حدث هذا الحادث بعد وقت قصير من تلقي تحذير بأن مستوى الزيت في علبة التروس كان منخفضًا جدًا. أظهر التحقيق الدقيق في الحادث أنه بعد وقت قصير من بدء المحفز التفاعل في المفاعل - ونتيجة لذلك كان المفاعل يحتاج إلى مزيد من التبريد - قام الكمبيوتر ، على أساس تقرير انخفاض مستويات الزيت في علبة التروس ، بتجميد الكل المقادير الخاضعة لسيطرتها بقيمة ثابتة. أدى ذلك إلى الحفاظ على تدفق الماء البارد عند مستوى منخفض جدًا مما أدى إلى ارتفاع درجة حرارة المفاعل نتيجة لذلك. أظهر مزيد من التحقيق أن مؤشر انخفاض مستويات النفط قد تم الإشارة إليه بواسطة مكون خاطئ.

استجاب البرنامج وفقًا للمواصفات مع إطلاق الإنذار وتثبيت جميع المتغيرات التشغيلية. كان هذا نتيجة لدراسة HAZOP (تحليل المخاطر وقابلية التشغيل) (Knowlton 1986) التي أجريت قبل الحدث ، والتي تطلبت عدم تعديل جميع المتغيرات الخاضعة للرقابة في حالة الفشل. نظرًا لأن المبرمج لم يكن على دراية بالإجراء بالتفصيل ، فقد تم تفسير هذا المطلب على أنه يعني عدم تعديل المشغلات الخاضعة للرقابة (صمامات التحكم في هذه الحالة) ؛ لم يتم إيلاء اهتمام لإمكانية ارتفاع درجة الحرارة. لم يأخذ المبرمج في الاعتبار أنه بعد تلقي إشارة خاطئة ، قد يجد النظام نفسه في موقف ديناميكي من النوع الذي يتطلب التدخل النشط للكمبيوتر لمنع وقوع حادث مؤسف. كان الوضع الذي أدى إلى وقوع الحادث غير محتمل ، علاوة على ذلك ، أنه لم يتم تحليله بالتفصيل في دراسة HAZOP (Levenson 1986). يوفر هذا المثال الانتقال إلى فئة ثانية من أسباب حوادث البرامج والكمبيوتر. هذه هي الإخفاقات المنهجية الموجودة في النظام منذ البداية ، ولكنها تظهر فقط في بعض المواقف المحددة للغاية التي لم يأخذها المطور في الاعتبار.

الحوادث الناجمة عن فشل التشغيل

في الاختبار الميداني أثناء الفحص النهائي للروبوتات ، استعار أحد الفنيين شريط كاسيت لروبوت مجاور واستبدل بآخر آخر دون إبلاغ زميله أنه فعل ذلك. عند عودته إلى مكان عمله ، أدخل الزميل الكاسيت الخطأ. منذ أن وقف بجانب الروبوت وتوقع سلسلة معينة من الحركات منه - تسلسل ظهر بشكل مختلف على حساب البرنامج المتبادل - حدث تصادم بين الإنسان الآلي والإنسان. يصف هذا الحادث المثال الكلاسيكي لفشل التشغيل. دور مثل هذه الإخفاقات في الأعطال والحوادث آخذ في الازدياد حاليًا بسبب التعقيد المتزايد في تطبيق آليات الأمان التي يتحكم فيها الكمبيوتر.

الحوادث الناتجة عن الأعطال المنهجية في الأجهزة أو البرامج

كان من المقرر إطلاق طوربيد برأس حربي لأغراض تدريبية من سفينة حربية في أعالي البحار. بسبب وجود خلل في جهاز القيادة ، ظل الطوربيد في أنبوب الطوربيد. قرر القبطان العودة إلى الميناء الرئيسي لإنقاذ الطوربيد. انفجر الطوربيد بعد فترة وجيزة من عودة السفينة إلى الوطن. كشف تحليل للحادث أن مطوري الطوربيد قد اضطروا إلى بناء آلية في الطوربيد مصممة لمنع عودتها إلى منصة الإطلاق بعد إطلاقها وبالتالي تدمير السفينة التي أطلقتها. كانت الآلية المختارة لذلك على النحو التالي: بعد إطلاق الطوربيد ، تم إجراء فحص ، باستخدام نظام الملاحة بالقصور الذاتي ، لمعرفة ما إذا كان مساره قد تغير بمقدار 180 درجة. بمجرد أن شعر الطوربيد بأنه تحول إلى 180 درجة ، انفجر الطوربيد على الفور ، من المفترض أنه على مسافة آمنة من منصة الإطلاق. تم تشغيل آلية الكشف هذه في حالة الطوربيد الذي لم يتم إطلاقه بشكل صحيح ، مما أدى إلى انفجار الطوربيد بعد أن غيرت السفينة مسارها بمقدار 180 درجة. هذا مثال نموذجي لحادث وقع بسبب عطل في المواصفات. الشرط الوارد في المواصفات أن الطوربيد لا ينبغي أن يدمر سفينته إذا لم يكن تغيير مساره قد صيغ بدقة كافية ؛ وهكذا تمت برمجة الاحتياط بشكل خاطئ. أصبح الخطأ واضحًا فقط في حالة معينة ، لم يأخذها المبرمج في الاعتبار كاحتمال.

في 14 سبتمبر 1993 ، تحطمت طائرة لوفتهانزا إيرباص 320 أثناء هبوطها في وارسو (الشكل 1). أظهر تحقيق دقيق في الحادث أن التعديلات التي أدخلت على منطق هبوط الكمبيوتر الموجود على متن الطائرة بعد وقوع حادث مع طائرة من طراز Lauda Air Boeing 767 في عام 1991 كانت مسؤولة جزئيًا عن هذا الهبوط. ما حدث في حادث عام 1991 هو أن الانحراف الدافع ، الذي يحول جزءًا من غازات المحرك لإيقاف الطائرة أثناء الهبوط ، قد اشتغل أثناء وجوده في الهواء ، مما دفع الماكينة إلى الانزلاق في أنف لا يمكن السيطرة عليه. لهذا السبب ، تم بناء قفل إلكتروني لانحراف الدفع في آلات إيرباص. سمحت هذه الآلية بأن يدخل انحراف الدفع حيز التنفيذ فقط بعد أن أشارت المستشعرات الموجودة في مجموعتي معدات الهبوط إلى ضغط ماصات الصدمات تحت ضغط العجلات التي تلامس لأسفل. بناءً على معلومات غير صحيحة ، توقع طيارو الطائرة في وارسو رياحًا جانبية قوية.

الشكل 1. لوفتهانزا إيرباص بعد حادث في وارسو 1993

لهذا السبب قاموا بإحضار الماكينة بإمالة طفيفة ولمست طائرة إيرباص بالعجلة اليمنى فقط ، تاركة المحمل الأيسر أقل من الوزن الكامل. بسبب القفل الإلكتروني لانحراف الدفع ، رفض الكمبيوتر الموجود على متن الطائرة للطيار لمدة تسع ثوانٍ مثل هذه المناورات التي كانت ستسمح للطائرة بالهبوط بأمان على الرغم من الظروف المعاكسة. يوضح هذا الحادث بوضوح شديد أن التعديلات في أنظمة الكمبيوتر يمكن أن تؤدي إلى مواقف جديدة وخطيرة إذا لم يتم النظر مسبقًا في نطاق عواقبها المحتملة.

 

يوضح المثال التالي للخلل أيضًا الآثار الكارثية التي يمكن أن يحدثها تعديل أمر واحد في أنظمة الكمبيوتر. يتم تحديد محتوى الكحول في الدم ، في الاختبارات الكيميائية ، باستخدام مصل الدم الصافي الذي تم منه طرد كريات الدم مسبقًا. وبالتالي فإن محتوى الكحول في المصل أعلى (بعامل 1.2) من محتوى الدم الكامل السميك. لهذا السبب يجب تقسيم قيم الكحول في مصل الدم على معامل 1.2 من أجل تحديد الأجزاء الهامة قانونياً وطبياً لكل ألف رقم. في الاختبار المشترك بين المختبرات الذي تم إجراؤه في عام 1984 ، تم التحقق من قيم الكحول في الدم في اختبارات متطابقة أجريت في مؤسسات بحثية مختلفة باستخدام مصل الدم تمت مقارنتها مع بعضها البعض. نظرًا لأنها كانت مسألة مقارنة فقط ، فقد تم محو أمر القسمة على 1.2 من البرنامج في إحدى المؤسسات طوال مدة التجربة. بعد انتهاء الاختبار بين المختبرات ، تم إدخال أمر الضرب في 1.2 خطأً في البرنامج في هذه البقعة. نتيجة لذلك ، تم حساب ما يقرب من 1,500 جزء لكل ألف قيمة غير صحيحة بين أغسطس 1984 ومارس 1985. كان هذا الخطأ حاسمًا للمهن المهنية لسائقي الشاحنات بمستويات كحول في الدم تتراوح بين 1.0 و 1.3 لكل ألف ، نظرًا لأن العقوبة القانونية التي تنطوي على مصادرة رخصة القيادة لفترة طويلة هي نتيجة 1.3 لكل ألف قيمة.

الحوادث الناتجة عن التأثيرات من ضغوط التشغيل أو من الضغوط البيئية

نتيجة للاضطراب الناجم عن جمع النفايات في المنطقة الفعالة لآلة التثقيب والقضم CNC (التحكم الرقمي بالكمبيوتر) ، يقوم المستخدم بتنفيذ "التوقف المبرمج". أثناء محاولته إزالة النفايات بيديه ، بدأ قضيب الدفع الخاص بالماكينة في التحرك على الرغم من التوقف المبرمج وأصاب المستخدم إصابة بالغة. كشف تحليل للحادث أنه لم يكن هناك خطأ في البرنامج. لا يمكن إعادة إنتاج بدء التشغيل غير المتوقع. وقد لوحظت مخالفات مماثلة في الماضي على أجهزة أخرى من نفس النوع. يبدو من المعقول أن نستنتج من هذه أن الحادث يجب أن يكون بسبب التداخل الكهرومغناطيسي. تم الإبلاغ عن حوادث مماثلة مع الروبوتات الصناعية من اليابان (Neumann 1987).

يوضح عطل في المسبار الفضائي فوييجر 2 في 18 يناير 1986 تأثير الضغوط البيئية على الأنظمة التي يتحكم فيها الكمبيوتر. قبل ستة أيام من أقرب اقتراب لأورانوس ، غطت حقول كبيرة من الخطوط بالأبيض والأسود الصور من فوييجر 2. أظهر تحليل دقيق أن بت واحد في كلمة أوامر للنظام الفرعي لبيانات الرحلة قد تسبب في الفشل ، كما لوحظ تم ضغط الصور في المسبار. من المرجح أن هذه القطعة قد خرجت من مكانها داخل ذاكرة البرنامج بسبب تأثير جسيم كوني. تم نقل الصور المضغوطة الخالية من الأخطاء من المسبار بعد يومين فقط ، باستخدام برنامج بديل قادر على تجاوز نقطة الذاكرة الفاشلة (Laeser و McLaughlin و Wolff 1987).

عرض ملخص الحوادث

تظهر الحوادث التي تم تحليلها أن بعض المخاطر التي قد يتم إهمالها في ظل ظروف باستخدام تقنية بسيطة وكهروميكانيكية ، تكتسب أهمية عند استخدام أجهزة الكمبيوتر. تسمح أجهزة الكمبيوتر بمعالجة وظائف السلامة المعقدة والخاصة بالوضع. ولهذا السبب ، تصبح المواصفات الواضحة والخالية من الأخطاء والكاملة والقابلة للاختبار لجميع وظائف السلامة مهمة بشكل خاص. يصعب اكتشاف الأخطاء في المواصفات وغالبًا ما تكون سببًا للحوادث في الأنظمة المعقدة. عادةً ما يتم تقديم عناصر تحكم قابلة للبرمجة بحرية بهدف القدرة على الاستجابة بمرونة وسرعة مع السوق المتغيرة. ومع ذلك ، فإن التعديلات - خاصة في الأنظمة المعقدة - لها آثار جانبية يصعب التنبؤ بها. لذلك يجب أن تخضع جميع التعديلات لإدارة رسمية صارمة لإجراء التغيير حيث يساعد الفصل الواضح بين وظائف السلامة والأنظمة الجزئية غير ذات الصلة بالسلامة في الحفاظ على سهولة مسح نتائج التعديلات على تكنولوجيا السلامة.

تعمل أجهزة الكمبيوتر بمستويات منخفضة من الكهرباء. ولذلك فهي عرضة للتداخل من مصادر الإشعاع الخارجية. نظرًا لأن تعديل إشارة واحدة بين الملايين يمكن أن يؤدي إلى عطل ، فإن الأمر يستحق إيلاء اهتمام خاص لموضوع التوافق الكهرومغناطيسي فيما يتعلق بأجهزة الكمبيوتر.

أصبحت خدمة الأنظمة التي يتحكم فيها الكمبيوتر حاليًا أكثر تعقيدًا وبالتالي أكثر غموضًا. لذلك أصبحت بيئة العمل البرمجية للمستخدم وبرامج التكوين أكثر إثارة للاهتمام من وجهة نظر تكنولوجيا السلامة.

لا يوجد نظام كمبيوتر قابل للاختبار بنسبة 100٪. تتطلب آلية التحكم البسيطة مع 32 منفذ إدخال ثنائي و 1,000 مسار برامج مختلف 4.3 × 10¹² اختبارات لفحص كامل. بمعدل 100 اختبار في الثانية يتم إجراؤها وتقييمها ، يستغرق الاختبار الكامل 1,362،XNUMX عامًا.

إجراءات وتدابير تحسين أجهزة السلامة التي يتحكم فيها الكمبيوتر

تم تطوير الإجراءات خلال السنوات العشر الماضية والتي تسمح بإتقان تحديات محددة متعلقة بالسلامة فيما يتعلق بأجهزة الكمبيوتر. هذه الإجراءات تتعامل مع أعطال الكمبيوتر الموضحة في هذا القسم. توضح الأمثلة الموصوفة للبرامج وأجهزة الكمبيوتر في إجراءات حماية الجهاز والحوادث التي تم تحليلها أن مدى الضرر وبالتالي أيضًا المخاطر التي تنطوي عليها التطبيقات المختلفة متغيرة للغاية. لذلك من الواضح أن الاحتياطات اللازمة لتحسين أجهزة الكمبيوتر والبرامج المستخدمة في تكنولوجيا السلامة يجب أن توضع فيما يتعلق بالمخاطر.

يوضح الشكل 2 إجراءً نوعيًا يمكن بموجبه تحديد الحد الضروري من المخاطر الذي يمكن الحصول عليه باستخدام أنظمة الأمان بشكل مستقل عن مدى وتكرار حدوث الضرر (Bell and Reinert 1992). يمكن ربط أنواع الأعطال في أنظمة الكمبيوتر التي تم تحليلها في قسم "الحوادث مع الأنظمة التي يتم التحكم فيها بواسطة الكمبيوتر" (أعلاه) مع ما يسمى بمستويات سلامة السلامة - أي ، التسهيلات التقنية للحد من المخاطر.

الشكل 2. الإجراء النوعي لتحديد المخاطر

يوضح الشكل 3 أن فعالية التدابير المتخذة ، في أي حالة معينة ، لتقليل الخطأ في البرامج وأجهزة الكمبيوتر يجب أن تنمو مع زيادة المخاطر (DIN 1994 ؛ IEC 1993).

الشكل 3 ، فعالية الاحتياطات المتخذة ضد الأخطاء بصرف النظر عن المخاطر

يوضح تحليل الحوادث الموضح أعلاه أن فشل الإجراءات الوقائية التي يتحكم فيها الكمبيوتر ناتج ليس فقط عن أخطاء عشوائية في المكونات ، ولكن أيضًا بسبب ظروف تشغيل معينة لم يأخذها المبرمج في الاعتبار. تشكل النتائج غير الواضحة على الفور لتعديلات البرنامج التي تم إجراؤها في سياق صيانة النظام مصدرًا إضافيًا للخطأ. ويترتب على ذلك أنه يمكن أن يكون هناك فشل في أنظمة السلامة التي يتم التحكم فيها بواسطة المعالجات الدقيقة والتي ، على الرغم من حدوثها أثناء تطوير النظام ، يمكن أن تؤدي إلى موقف خطير فقط أثناء التشغيل. لذلك يجب اتخاذ الاحتياطات اللازمة ضد مثل هذه الأعطال بينما تكون الأنظمة المتعلقة بالسلامة في مرحلة التطوير. يجب اتخاذ تدابير تجنب الفشل هذه ليس فقط خلال مرحلة المفهوم ، ولكن أيضًا في عملية التطوير والتركيب والتعديل. يمكن تجنب بعض حالات الفشل إذا تم اكتشافها وتصحيحها خلال هذه العملية (DIN 1990).

كما يوضح الحادث الأخير الموصوف ، فإن انهيار ترانزستور واحد يمكن أن يؤدي إلى عطل تقني لمعدات آلية شديدة التعقيد. نظرًا لأن كل دائرة مفردة تتكون من عدة آلاف من الترانزستورات والمكونات الأخرى ، يجب اتخاذ العديد من تدابير تجنب الفشل للتعرف على مثل هذه الإخفاقات عند التشغيل وبدء التفاعل المناسب في نظام الكمبيوتر. يصف الشكل 4 أنواع الأعطال في الأنظمة الإلكترونية القابلة للبرمجة بالإضافة إلى أمثلة على الاحتياطات التي يمكن اتخاذها لتجنب الأعطال في أنظمة الكمبيوتر والتحكم فيها (DIN 1990 ؛ IEC 1992).

الشكل 4. أمثلة على الاحتياطات المتخذة للسيطرة على وتجنب الأخطاء في أنظمة الكمبيوتر

إمكانيات وآفاق الأنظمة الإلكترونية القابلة للبرمجة في تكنولوجيا السلامة

أصبحت الآلات والمصانع الحديثة معقدة بشكل متزايد ويجب أن تحقق مهامًا أكثر شمولاً في فترات زمنية أقصر من أي وقت مضى. لهذا السبب ، استحوذت أنظمة الكمبيوتر على جميع مجالات الصناعة تقريبًا منذ منتصف السبعينيات. ساهمت هذه الزيادة في التعقيد وحدها بشكل كبير في ارتفاع التكاليف التي ينطوي عليها تحسين تكنولوجيا السلامة في مثل هذه الأنظمة. على الرغم من أن البرامج وأجهزة الكمبيوتر تشكل تحديًا كبيرًا للسلامة في مكان العمل ، إلا أنها تتيح أيضًا تنفيذ أنظمة جديدة صديقة للخطأ في مجال تكنولوجيا السلامة.

سوف تساعد الآية المضحكة ولكن الإرشادية التي كتبها إرنست جاندل في شرح المقصود بالمفهوم صديق للخطأ. "Lichtung: Manche meinen lechts und rinks kann man nicht velwechsern ، werch ein Illtum". ("Dilection: لا يمكن تغيير الكثير من الضوء والذكاء ، يا له من ellol".) على الرغم من تبادل الرسائل r و l، يمكن فهم هذه العبارة بسهولة من قبل شخص بالغ عادي. حتى شخص بطلاقة منخفضة في اللغة الإنجليزية يمكنه ترجمتها إلى الإنجليزية. ومع ذلك ، فإن المهمة تكاد تكون مستحيلة بالنسبة لجهاز كمبيوتر مترجم بمفرده.

يوضح هذا المثال أنه يمكن للإنسان أن يتفاعل بطريقة صديقة للخطأ أكثر بكثير من كمبيوتر اللغة. هذا يعني أن البشر ، مثل جميع الكائنات الحية الأخرى ، يمكنهم تحمل الفشل من خلال إحالتهم إلى التجربة. إذا نظر المرء إلى الآلات المستخدمة اليوم ، يمكن للمرء أن يرى أن غالبية الآلات تعاقب فشل المستخدم ليس بحادث ، ولكن مع انخفاض في الإنتاج. تؤدي هذه الملكية إلى التلاعب بالضمانات أو التهرب منها. تضع تكنولوجيا الكمبيوتر الحديثة الأنظمة تحت تصرف سلامة العمل والتي يمكن أن تتفاعل بذكاء - أي بطريقة معدلة. ومن ثم ، فإن مثل هذه الأنظمة تجعل من الممكن أسلوب سلوك غير مناسب للخطأ في الآلات الجديدة. إنهم يحذرون المستخدمين أثناء عملية خاطئة أولاً وقبل كل شيء ويغلقون الجهاز فقط عندما تكون هذه هي الطريقة الوحيدة لتجنب وقوع حادث. يُظهر تحليل الحوادث أن هناك إمكانية كبيرة في هذا المجال لتقليل الحوادث (Reinert and Reuss 1991).

 

الرجوع

يهدف النظام الآلي الهجين (HAS) إلى دمج قدرات آلات الذكاء الاصطناعي (القائمة على تكنولوجيا الكمبيوتر) مع قدرات الأشخاص الذين يتفاعلون مع هذه الآلات في سياق أنشطة عملهم. تتعلق الاهتمامات الرئيسية لاستخدام HAS بكيفية تصميم النظم الفرعية للإنسان والآلة من أجل الاستفادة المثلى من المعرفة والمهارات لكلا الجزأين من النظام الهجين ، وكيف يجب أن يتفاعل المشغلون البشريون ومكونات الماكينة مع بعضهم البعض للتأكد من أن وظائفهم تكمل بعضها البعض. تطورت العديد من الأنظمة الأوتوماتيكية الهجينة كمنتجات لتطبيقات المنهجيات الحديثة القائمة على المعلومات والتحكم لأتمتة ودمج الوظائف المختلفة للأنظمة التكنولوجية المعقدة في كثير من الأحيان. تم تحديد HAS في الأصل من خلال إدخال الأنظمة القائمة على الكمبيوتر المستخدمة في تصميم وتشغيل أنظمة التحكم في الوقت الفعلي لمفاعلات الطاقة النووية ، ومحطات المعالجة الكيميائية وتكنولوجيا تصنيع الأجزاء المنفصلة. يمكن أيضًا العثور على HAS في العديد من الصناعات الخدمية ، مثل مراقبة الحركة الجوية وإجراءات الملاحة الجوية في مجال الطيران المدني ، وفي تصميم واستخدام أنظمة الملاحة الذكية للمركبات والطرق السريعة في النقل البري.

مع التقدم المستمر في الأتمتة القائمة على الكمبيوتر ، تتحول طبيعة المهام البشرية في الأنظمة التكنولوجية الحديثة من تلك التي تتطلب مهارات إدراكية حركية إلى تلك التي تتطلب أنشطة معرفية ، وهي ضرورية لحل المشكلات ، ولاتخاذ القرار في مراقبة النظام ، ولأجل مهام الرقابة الإشرافية. على سبيل المثال ، يعمل المشغلون البشريون في أنظمة التصنيع المتكاملة بالكمبيوتر في المقام الأول كمراقبين للنظام وحل المشكلات وصانعي القرار. الأنشطة المعرفية للمشرف البشري في أي بيئة HAS هي (1) تخطيط ما يجب القيام به لفترة زمنية معينة ، (2) وضع إجراءات (أو خطوات) لتحقيق مجموعة الأهداف المخطط لها ، (3) مراقبة التقدم من العمليات (التكنولوجية) ، (4) "تعليم" النظام من خلال جهاز كمبيوتر تفاعلي بشري ، (5) التدخل إذا كان النظام يتصرف بشكل غير طبيعي أو إذا تغيرت أولويات التحكم و (6) التعلم من خلال التغذية الراجعة من النظام حول تأثير الإجراءات الرقابية (شيريدان 1987).

تصميم نظام هجين

تتضمن التفاعلات بين الإنسان والآلة في HAS استخدام حلقات الاتصال الديناميكي بين المشغلين البشر والآلات الذكية - وهي عملية تتضمن استشعار المعلومات ومعالجتها وبدء وتنفيذ مهام التحكم واتخاذ القرار - ضمن هيكل معين لتخصيص الوظائف بين البشر والآلات. كحد أدنى ، يجب أن تعكس التفاعلات بين الأشخاص والأتمتة درجة التعقيد العالية للأنظمة الآلية الهجينة ، فضلاً عن الخصائص ذات الصلة للمشغلين البشريين ومتطلبات المهام. لذلك ، يمكن تعريف النظام الآلي الهجين رسميًا على أنه خماسي في الصيغة التالية:

لديه = (T ، U ، C ، E ، أنا)

أين T = متطلبات المهمة (الجسدية والمعرفية) ؛ U = خصائص المستخدم (الجسدية والمعرفية) ؛ C = خصائص الأتمتة (الأجهزة والبرامج ، بما في ذلك واجهات الكمبيوتر) ؛ E = بيئة النظام ؛ I = مجموعة من التفاعلات بين العناصر المذكورة أعلاه.

مجموعة التفاعلات I يجسد جميع التفاعلات الممكنة بين T, U و C in E بغض النظر عن طبيعتها أو قوة ارتباطها. على سبيل المثال ، قد يتضمن أحد التفاعلات المحتملة علاقة البيانات المخزنة في ذاكرة الكمبيوتر بالمعرفة المقابلة ، إن وجدت ، للمشغل البشري. التفاعلات I يمكن أن تكون عنصرية (على سبيل المثال ، تقتصر على ارتباط واحد لواحد) ، أو معقدة ، مثل قد تتضمن تفاعلات بين المشغل البشري ، والبرمجيات المعينة المستخدمة لتحقيق المهمة المطلوبة ، والواجهة المادية المتاحة مع الكمبيوتر.

يركز مصممو العديد من الأنظمة الآلية الهجينة بشكل أساسي على التكامل بمساعدة الكمبيوتر للآلات المتطورة وغيرها من المعدات كأجزاء من التكنولوجيا القائمة على الكمبيوتر ، ونادرًا ما يولون اهتمامًا كبيرًا للحاجة القصوى للتكامل البشري الفعال داخل هذه الأنظمة. لذلك ، في الوقت الحالي ، لا تتوافق العديد من الأنظمة (التكنولوجية) المدمجة بالحاسوب بشكل كامل مع القدرات الكامنة في المشغلين البشريين كما تعبر عنها المهارات والمعرفة اللازمة للتحكم الفعال في هذه الأنظمة ومراقبتها. ينشأ عدم التوافق هذا على جميع مستويات عمل الإنسان والآلة والإنسان والآلة ، ويمكن تحديده في إطار الفرد والمؤسسة أو المنشأة بأكملها. على سبيل المثال ، تحدث مشاكل دمج الأشخاص والتكنولوجيا في مؤسسات التصنيع المتقدمة في وقت مبكر في مرحلة تصميم HAS. يمكن تصور هذه المشكلات باستخدام نموذج تكامل النظام التالي لتعقيد التفاعلات ، Iبين مصممي النظام Dالمشغلين البشريين ، H، أو مستخدمي وتقنية النظام المحتملين ، T:

أنا (ح ، تي) = F [I (H، D)، I (D، T)]

أين I لتقف على التفاعلات ذات الصلة التي تحدث في هيكل HAS معين ، بينما F يشير إلى العلاقات الوظيفية بين المصممين والمشغلين البشريين والتكنولوجيا.

يسلط نموذج تكامل النظام أعلاه الضوء على حقيقة أن التفاعلات بين المستخدمين والتكنولوجيا يتم تحديدها من خلال نتيجة تكامل التفاعلين السابقين - أي (1) تلك بين مصممي HAS والمستخدمين المحتملين و (2) تلك بين المصممين وتكنولوجيا HAS (على مستوى الآلات وتكاملها). وتجدر الإشارة إلى أنه على الرغم من وجود تفاعلات قوية عادةً بين المصممين والتكنولوجيا ، يمكن العثور على أمثلة قليلة جدًا من العلاقات المتبادلة القوية بين المصممين والمشغلين البشريين.

يمكن القول أنه حتى في أكثر الأنظمة الآلية ، يظل الدور البشري حاسمًا لنجاح أداء النظام على المستوى التشغيلي. حدد Bainbridge (1983) مجموعة من المشكلات المتعلقة بتشغيل HAS والتي ترجع إلى طبيعة الأتمتة نفسها ، على النحو التالي:

1. المشغلين "خارج دائرة التحكم". يتواجد المشغلون البشريون في النظام لممارسة التحكم عند الحاجة ، ولكن من خلال كونهم "خارج دائرة التحكم" يفشلون في الحفاظ على المهارات اليدوية ومعرفة النظام طويلة المدى التي غالبًا ما تكون مطلوبة في حالة الطوارئ.
2. عفا عليها الزمن "صورة ذهنية". قد لا يتمكن المشغلون البشريون من الاستجابة بسرعة للتغييرات في سلوك النظام إذا لم يكونوا يتابعون أحداث تشغيله عن كثب. علاوة على ذلك ، قد تكون معرفة المشغلين أو الصورة الذهنية لعمل النظام غير كافية لبدء أو ممارسة الاستجابات المطلوبة.
3. اختفاء مهارات الأجيال. قد لا يتمكن المشغلون الجدد من اكتساب المعرفة الكافية حول النظام المحوسب الذي تم تحقيقه من خلال الخبرة ، وبالتالي لن يتمكنوا من ممارسة التحكم الفعال عند الحاجة.
4. سلطة الأتمتة. إذا تم تنفيذ النظام المحوسب لأنه يمكن أن يؤدي المهام المطلوبة بشكل أفضل من المشغل البشري ، فإن السؤال الذي يطرح نفسه ، "على أي أساس يجب أن يقرر المشغل أن القرارات الصحيحة أو غير الصحيحة يتم اتخاذها بواسطة الأنظمة الآلية؟"
5. ظهور أنواع جديدة من "الأخطاء البشرية" بسبب الأتمتة. تؤدي الأنظمة المؤتمتة إلى أنواع جديدة من الأخطاء وبالتالي حوادث لا يمكن تحليلها في إطار تقنيات التحليل التقليدية.

 

توزيع المهام

تتمثل إحدى القضايا المهمة لتصميم HAS في تحديد عدد الوظائف أو المسؤوليات التي يجب تخصيصها للمشغلين البشريين وأيها وعددها لأجهزة الكمبيوتر. بشكل عام ، هناك ثلاث فئات أساسية من مشاكل تخصيص المهام التي يجب أخذها في الاعتبار: (1) المشرف البشري - تخصيص مهام الكمبيوتر ، (2) تخصيص المهام بين الإنسان والبشر و (3) تخصيص المهام الإشرافية بين الكمبيوتر والكمبيوتر. من الناحية المثالية ، ينبغي اتخاذ قرارات التخصيص من خلال بعض إجراءات التخصيص المنظمة قبل البدء في تصميم النظام الأساسي. لسوء الحظ ، نادرًا ما تكون مثل هذه العملية المنهجية ممكنة ، لأن الوظائف التي سيتم تخصيصها قد تحتاج إما إلى مزيد من الفحص أو يجب أن يتم تنفيذها بشكل تفاعلي بين مكونات النظام البشري والآلة - أي من خلال تطبيق نموذج التحكم الإشرافي. يجب أن يركز تخصيص المهام في الأنظمة الآلية المختلطة على مدى المسؤوليات الإشرافية للإنسان والكمبيوتر ، ويجب أن يأخذ في الاعتبار طبيعة التفاعلات بين المشغل البشري وأنظمة دعم القرار المحوسبة. يجب أيضًا مراعاة وسائل نقل المعلومات بين الآلات وواجهات المدخلات والمخرجات البشرية وتوافق البرامج مع قدرات حل المشكلات المعرفية البشرية.

في الأساليب التقليدية لتصميم وإدارة الأنظمة الآلية الهجينة ، كان يُنظر إلى العمال على أنهم أنظمة مدخلات ومخرجات حتمية ، وكان هناك ميل لتجاهل الطبيعة الغائية للسلوك البشري - أي السلوك الموجه نحو الهدف الذي يعتمد على اكتساب المعلومات ذات الصلة واختيار الأهداف (Goodstein et al. 1988). لكي تكون ناجحًا ، يجب أن يعتمد تصميم وإدارة الأنظمة الآلية الهجينة المتقدمة على وصف الوظائف العقلية البشرية اللازمة لمهمة محددة. يقترح نهج "الهندسة المعرفية" (الموصوف بمزيد من التفصيل أدناه) أن أنظمة الإنسان والآلة (الهجينة) تحتاج إلى تصور وتصميم وتحليل وتقييم من حيث العمليات العقلية البشرية (أي أن النموذج العقلي للمشغل للأنظمة التكيفية يؤخذ في الاعتبار الحساب). فيما يلي متطلبات النهج المتمحور حول الإنسان لتصميم وتشغيل HAS كما صاغها Corbett (1988):

1. التوافق. يجب ألا يتطلب تشغيل النظام مهارات لا علاقة لها بالمهارات الحالية ، ولكن يجب أن تسمح للمهارات الحالية بالتطور. يجب على المشغل البشري إدخال واستقبال المعلومات التي تتوافق مع الممارسة التقليدية حتى تتوافق الواجهة مع المعرفة والمهارة السابقة للمستخدم.
2. الشفافية. لا يمكن للمرء التحكم في نظام دون فهمه. لذلك ، يجب أن يكون المشغل البشري قادرًا على "رؤية" العمليات الداخلية لبرنامج التحكم في النظام إذا كان سيتم تسهيل التعلم. يسهل النظام الشفاف على المستخدمين بناء نموذج داخلي لوظائف صنع القرار والتحكم التي يمكن للنظام أن يؤديها.
3. الحد الأدنى من الصدمة. يجب ألا يقوم النظام بأي شيء يراه المشغلون غير متوقع في ضوء المعلومات المتاحة لهم ، مع توضيح الحالة الحالية للنظام.
4. السيطرة على الاضطرابات. يجب أن تكون المهام غير المؤكدة (على النحو المحدد في تحليل هيكل الاختيار) تحت سيطرة المشغل البشري مع دعم اتخاذ القرار بالكمبيوتر.
5. القابلية للخطأ. لا ينبغي تصميم المهارات والمعرفة الضمنية للمشغلين البشريين خارج النظام. لا ينبغي أبدًا وضع المشغلين في وضع يجعلهم يشاهدون بلا حول ولا قوة البرنامج يوجه عملية غير صحيحة.
6. قابلية عكس الخطأ. يجب أن توفر البرامج تغذية كافية مسبقًا للمعلومات لإبلاغ المشغل البشري بالنتائج المحتملة لعملية أو استراتيجية معينة.
7. مرونة التشغيل. يجب أن يوفر النظام للمشغلين البشريين حرية مقايضة المتطلبات وحدود الموارد عن طريق تغيير استراتيجيات التشغيل دون فقدان دعم برنامج التحكم.

 

هندسة العوامل البشرية المعرفية

تركز هندسة العوامل البشرية المعرفية على كيفية اتخاذ المشغلين البشريين للقرارات في مكان العمل وحل المشكلات وصياغة الخطط وتعلم مهارات جديدة (هولناجل وودز 1983). يمكن تصنيف أدوار المشغلين البشريين الذين يعملون في أي نظام HAS باستخدام مخطط Rasmussen (1983) إلى ثلاث فئات رئيسية:

1. السلوك القائم على المهارة هو الأداء الحسي الحركي الذي يتم تنفيذه أثناء الأعمال أو الأنشطة التي تحدث دون تحكم واعي مثل أنماط سلوك سلسة وآلية ومتكاملة للغاية. تعتبر الأنشطة البشرية التي تندرج تحت هذه الفئة بمثابة سلسلة من الأعمال الماهرة المكونة لموقف معين. وبالتالي ، فإن السلوك القائم على المهارة هو تعبير عن أنماط السلوك المخزنة إلى حد ما أو التعليمات المبرمجة مسبقًا في مجال الزمكان.
2. السلوك القائم على القواعد هي فئة أداء موجهة نحو الهدف تم تنظيمها عن طريق التحكم المغذي من خلال قاعدة أو إجراء مخزن - أي ، أداء مرتب يسمح بتكوين سلسلة من الإجراءات الفرعية في حالة عمل مألوفة. عادةً ما يتم تحديد القاعدة من التجارب السابقة وتعكس الخصائص الوظيفية التي تقيد سلوك البيئة. يعتمد الأداء المستند إلى القواعد على المعرفة الواضحة فيما يتعلق باستخدام القواعد ذات الصلة. تتكون مجموعة بيانات القرار من مراجع للتعرف وتحديد الحالات أو الأحداث أو المواقف.
3. السلوك القائم على المعرفة هي فئة من الأداء الذي يتحكم فيه الهدف ، حيث يتم صياغة الهدف صراحةً بناءً على معرفة البيئة وأهداف الشخص. يتم تمثيل البنية الداخلية للنظام من خلال "نموذج عقلي". يسمح هذا النوع من السلوك بتطوير واختبار خطط مختلفة في ظل ظروف تحكم غير مألوفة وبالتالي غير مؤكدة ، ويكون مطلوبًا عندما تكون المهارات أو القواعد إما غير متوفرة أو غير كافية بحيث يجب استدعاء حل المشكلات والتخطيط بدلاً من ذلك.

 

في تصميم وإدارة نظام HAS ، ينبغي للمرء أن يأخذ في الاعتبار الخصائص المعرفية للعمال من أجل ضمان توافق تشغيل النظام مع النموذج الداخلي للعامل الذي يصف وظائفه. وبالتالي ، يجب تحويل مستوى وصف النظام من الجوانب القائمة على المهارات إلى الجوانب المستندة إلى القواعد والقائمة على المعرفة للأداء البشري ، ويجب استخدام الأساليب المناسبة لتحليل المهام المعرفية لتحديد نموذج المشغل للنظام. من القضايا ذات الصلة في تطوير HAS تصميم وسائل نقل المعلومات بين المشغل البشري ومكونات النظام الآلي ، على المستويين المادي والمعرفي. يجب أن يكون نقل المعلومات هذا متوافقًا مع أنماط المعلومات المستخدمة على مستويات مختلفة من تشغيل النظام - أي المرئية أو اللفظية أو اللمسية أو الهجينة. يضمن هذا التوافق المعلوماتي أن الأشكال المختلفة لنقل المعلومات ستتطلب حدًا أدنى من عدم التوافق بين الوسيط وطبيعة المعلومات. على سبيل المثال ، يعد العرض المرئي هو الأفضل لنقل المعلومات المكانية ، بينما يمكن استخدام المدخلات السمعية لنقل المعلومات النصية.

غالبًا ما يطور المشغل البشري نموذجًا داخليًا يصف تشغيل ووظيفة النظام وفقًا لخبرته وتدريبه وتعليماته فيما يتعلق بنوع معين من واجهة الإنسان والآلة. في ضوء هذا الواقع ، يجب أن يحاول مصممو نظام HAS أن يبنوا في الآلات (أو أنظمة اصطناعية أخرى) نموذجًا للخصائص الفيزيائية والمعرفية للمشغل البشري - أي صورة النظام للمشغل (Hollnagel and Woods 1983) . يجب أن يأخذ مصممو HAS في الاعتبار أيضًا مستوى التجريد في وصف النظام بالإضافة إلى الفئات المختلفة ذات الصلة بسلوك المشغل البشري. مستويات التجريد هذه لنمذجة الأداء البشري في بيئة العمل هي كما يلي (Rasmussen 1983): (1) الشكل المادي (التركيب التشريحي) ، (2) الوظائف الجسدية (الوظائف الفسيولوجية) ، (3) الوظائف المعممة (الآليات النفسية والمعرفية) والعمليات العاطفية) ، (4) الوظائف المجردة (معالجة المعلومات) و (5) الغرض الوظيفي (هياكل القيم ، الأساطير ، الأديان ، التفاعلات البشرية). يجب أن يتم النظر في هذه المستويات الخمسة في وقت واحد من قبل المصممين من أجل ضمان أداء HAS الفعال.

تصميم برمجيات النظام

نظرًا لأن برنامج الكمبيوتر هو مكون أساسي لأي بيئة HAS ، يجب أيضًا مراعاة تطوير البرامج ، بما في ذلك التصميم والاختبار والتشغيل والتعديل ، ومشكلات موثوقية البرامج في المراحل الأولى من تطوير HAS. بهذه الطريقة ، يجب أن يكون المرء قادرًا على خفض تكلفة اكتشاف أخطاء البرامج والقضاء عليها. ومع ذلك ، من الصعب تقدير موثوقية المكونات البشرية لنظام HAS ، بسبب القيود في قدرتنا على نمذجة أداء المهام البشرية ، وعبء العمل المرتبط والأخطاء المحتملة. قد يؤدي عبء العمل العقلي المفرط أو غير الكافي إلى الحمل الزائد للمعلومات والملل ، على التوالي ، وقد يؤدي إلى تدهور الأداء البشري ، مما يؤدي إلى حدوث أخطاء وزيادة احتمالية وقوع الحوادث. يجب على مصممي نظام HAS استخدام واجهات تكيفية تستخدم تقنيات الذكاء الاصطناعي لحل هذه المشكلات. بالإضافة إلى التوافق بين الإنسان والآلة ، يجب مراعاة مسألة القدرة على التكيف بين الإنسان والآلة مع بعضها البعض من أجل تقليل مستويات الإجهاد التي تحدث عندما يتم تجاوز القدرات البشرية.

نظرًا للمستوى العالي من التعقيد للعديد من الأنظمة الآلية الهجينة ، فإن تحديد أي مخاطر محتملة تتعلق بالأجهزة والبرامج والإجراءات التشغيلية والتفاعلات بين الإنسان والآلة لهذه الأنظمة يصبح أمرًا بالغ الأهمية لنجاح الجهود التي تهدف إلى تقليل الإصابات وتلف المعدات . من الواضح أن مخاطر السلامة والصحة المرتبطة بالأنظمة الآلية الهجينة المعقدة ، مثل تكنولوجيا التصنيع المتكاملة بالحاسوب (CIM) ، هي أحد أكثر الجوانب أهمية في تصميم النظام وتشغيله.

قضايا سلامة النظام

البيئات الآلية الهجينة ، مع إمكاناتها الكبيرة للسلوك غير المنتظم لبرنامج التحكم في ظل ظروف اضطراب النظام ، تخلق جيلًا جديدًا من مخاطر الحوادث. نظرًا لأن الأنظمة الآلية الهجينة أصبحت أكثر تنوعًا وتعقيدًا ، فإن اضطرابات النظام ، بما في ذلك مشاكل بدء التشغيل والإغلاق والانحرافات في التحكم في النظام ، يمكن أن تزيد بشكل كبير من احتمالية حدوث خطر جسيم على المشغلين من البشر. ومن المفارقات ، في العديد من المواقف غير الطبيعية ، يعتمد المشغلون عادة على الأداء السليم لأنظمة الأمان الفرعية المؤتمتة ، وهي ممارسة قد تزيد من مخاطر الإصابة الشديدة. على سبيل المثال ، أظهرت دراسة الحوادث المتعلقة بأعطال أنظمة التحكم الفنية أن حوالي ثلث تسلسل الحوادث تضمنت تدخلًا بشريًا في حلقة التحكم في النظام المضطرب.

نظرًا لأن تدابير السلامة التقليدية لا يمكن تكييفها بسهولة مع احتياجات بيئات HAS ، فإن استراتيجيات التحكم في الإصابات والوقاية من الحوادث بحاجة إلى إعادة النظر في ضوء الخصائص الكامنة في هذه الأنظمة. على سبيل المثال ، في مجال تكنولوجيا التصنيع المتقدمة ، تتميز العديد من العمليات بوجود كميات كبيرة من تدفقات الطاقة التي لا يمكن للمشغلين البشريين توقعها بسهولة. علاوة على ذلك ، تظهر مشكلات السلامة عادةً عند السطوح البينية بين الأنظمة الفرعية ، أو عندما تتقدم اضطرابات النظام من نظام فرعي إلى آخر. وفقًا للمنظمة الدولية للتوحيد القياسي (ISO 1991) ، تختلف المخاطر المرتبطة بالمخاطر بسبب الأتمتة الصناعية باختلاف أنواع الآلات الصناعية المدمجة في نظام التصنيع المحدد وطرق تثبيت النظام وبرمجته وتشغيله وصيانته. وإصلاحه. على سبيل المثال ، أظهرت مقارنة الحوادث المتعلقة بالروبوتات في السويد بأنواع الحوادث الأخرى أن الروبوتات قد تكون أكثر الآلات الصناعية خطورة المستخدمة في الصناعة التحويلية المتقدمة. كان معدل الحوادث المقدر للروبوتات الصناعية حادثًا خطيرًا واحدًا لكل 45 عامًا من الروبوتات ، وهو معدل أعلى من معدل المطابع الصناعية ، والذي تم الإبلاغ عنه بأنه حادث واحد لكل 50 سنة آلية. وتجدر الإشارة هنا إلى أن المطابع الصناعية في الولايات المتحدة كانت مسؤولة عن حوالي 23٪ من جميع الوفيات المرتبطة بآلات تشغيل المعادن في الفترة 1980-1985 ، حيث احتلت مكابس الطاقة المرتبة الأولى فيما يتعلق بمنتج شدة التردد للإصابات غير المميتة.

في مجال تكنولوجيا التصنيع المتقدمة ، هناك العديد من الأجزاء المتحركة التي تشكل خطورة على العمال لأنها تغير موقعها بطريقة معقدة خارج المجال البصري للمشغلين البشريين. خلقت التطورات التكنولوجية السريعة في التصنيع المتكامل بالحاسوب حاجة ماسة لدراسة آثار تكنولوجيا التصنيع المتقدمة على العمال. من أجل تحديد المخاطر التي تسببها المكونات المختلفة لبيئة HAS ، يجب تحليل الحوادث السابقة بعناية. لسوء الحظ ، يصعب عزل الحوادث التي تنطوي على استخدام الروبوت عن تقارير الحوادث المتعلقة بالآلات التي يديرها الإنسان ، وبالتالي ، قد تكون هناك نسبة عالية من الحوادث غير المسجلة. تنص قواعد الصحة والسلامة المهنية في اليابان على أن "الروبوتات الصناعية ليس لديها في الوقت الحالي وسائل موثوقة للسلامة ولا يمكن حماية العمال منها ما لم يتم تنظيم استخدامها". على سبيل المثال ، أظهرت نتائج الدراسة الاستقصائية التي أجرتها وزارة العمل اليابانية (Sugimoto 1987) للحوادث المتعلقة بالروبوتات الصناعية عبر 190 مصنعًا تم مسحها (مع 4,341 روبوتًا عاملاً) أن هناك 300 اضطراب متعلق بالروبوت ، منها 37 حالة. من الأعمال غير الآمنة أسفرت عن بعض الحوادث القريبة ، 9 كانت حوادث مسببة للإصابة ، و 2 كانت حوادث مميتة. تشير نتائج الدراسات الأخرى إلى أن التشغيل الآلي المستند إلى الكمبيوتر لا يؤدي بالضرورة إلى زيادة المستوى العام للسلامة ، حيث لا يمكن جعل أجهزة النظام آمنة من الفشل من خلال وظائف الأمان في برنامج الكمبيوتر وحده ، كما أن أجهزة التحكم في النظام ليست دائمًا موثوقة للغاية. علاوة على ذلك ، في HAS المعقدة ، لا يمكن للمرء أن يعتمد حصريًا على أجهزة استشعار السلامة للكشف عن الظروف الخطرة واتخاذ استراتيجيات مناسبة لتجنب المخاطر.

آثار الأتمتة على صحة الإنسان

كما نوقش أعلاه ، فإن أنشطة العمال في العديد من بيئات HAS هي في الأساس تلك الخاصة بالرقابة الإشرافية والمراقبة ودعم النظام والصيانة. يمكن أيضًا تصنيف هذه الأنشطة إلى أربع مجموعات أساسية على النحو التالي: (1) مهام البرمجة ، أي ترميز المعلومات التي توجه وتوجه تشغيل الآلات ، (2) مراقبة إنتاج HAS ومكونات التحكم ، (3) صيانة مكونات HAS لمنع أو التخفيف من أعطال الآلات ، و (4) أداء مجموعة متنوعة من مهام الدعم ، وما إلى ذلك ، خلصت العديد من المراجعات الحديثة لتأثير HAS على رفاهية العمال إلى أنه على الرغم من أن استخدام HAS في منطقة التصنيع قد يقضي على المهام الثقيلة والخطيرة ، العمل في بيئة HAS قد يكون غير مرضي ومرهق للعمال. تضمنت مصادر الإجهاد المراقبة المستمرة المطلوبة في العديد من تطبيقات HAS ، والنطاق المحدود للأنشطة المخصصة ، والمستوى المنخفض من تفاعل العمال الذي يسمح به تصميم النظام ، ومخاطر السلامة المرتبطة بطبيعة المعدات التي لا يمكن التنبؤ بها والتي لا يمكن السيطرة عليها. على الرغم من أن بعض العمال الذين يشاركون في أنشطة البرمجة والصيانة يشعرون بعناصر التحدي ، والتي قد يكون لها آثار إيجابية على رفاههم ، غالبًا ما يتم تعويض هذه التأثيرات من خلال الطبيعة المعقدة والمتطلبة لهذه الأنشطة ، بالإضافة إلى الضغط التي تبذلها الإدارة لإكمال هذه الأنشطة بسرعة.

على الرغم من أنه في بعض بيئات HAS ، تتم إزالة المشغلين البشريين من مصادر الطاقة التقليدية (تدفق العمل وحركة الماكينة) أثناء ظروف التشغيل العادية ، لا يزال يتعين تنفيذ العديد من المهام في الأنظمة الآلية في اتصال مباشر مع مصادر الطاقة الأخرى. نظرًا لأن عدد مكونات HAS المختلفة يتزايد باستمرار ، يجب التركيز بشكل خاص على راحة العمال وسلامتهم وعلى تطوير أحكام فعالة للتحكم في الإصابة ، لا سيما في ضوء حقيقة أن العمال لم يعودوا قادرين على مواكبة تعقيد وتعقيد هذه الأنظمة.

من أجل تلبية الاحتياجات الحالية للسيطرة على الإصابات وسلامة العمال في أنظمة التصنيع المتكاملة للكمبيوتر ، اقترحت لجنة الأيزو لأنظمة الأتمتة الصناعية معيار أمان جديدًا بعنوان "سلامة أنظمة التصنيع المتكاملة" (1991). يهدف هذا المعيار الدولي الجديد ، الذي تم تطويره للتعرف على المخاطر الخاصة الموجودة في أنظمة التصنيع المتكاملة التي تتضمن الآلات الصناعية والمعدات المرتبطة بها ، إلى تقليل احتمالات إصابات الأفراد أثناء العمل على نظام تصنيع متكامل أو بجواره. تظهر المصادر الرئيسية للمخاطر المحتملة للمشغلين البشريين في CIM المحددة بواسطة هذا المعيار في الشكل 1.

الشكل 1. المصدر الرئيسي للمخاطر في التصنيع المتكامل بالحاسوب (CIM) (بعد ISO 1991)

أخطاء بشرية ونظامية

بشكل عام ، يمكن أن تنشأ المخاطر في نظام HAS من النظام نفسه ، أو من ارتباطه بالمعدات الأخرى الموجودة في البيئة المادية ، أو من تفاعلات الأفراد مع النظام. الحادث هو واحد فقط من النتائج العديدة للتفاعلات بين الإنسان والآلة التي قد تنشأ في ظل ظروف خطرة ؛ الحوادث القريبة وحوادث التلف أكثر شيوعًا (Zimolong and Duda 1992). يمكن أن يؤدي حدوث الخطأ إلى إحدى هذه النتائج: (1) يبقى الخطأ دون أن يلاحظه أحد ، (2) يمكن للنظام تعويض الخطأ ، (3) يؤدي الخطأ إلى تعطل الجهاز و / أو توقف النظام أو (4) ) يؤدي الخطأ إلى وقوع حادث.

نظرًا لأنه ليس كل خطأ بشري ينتج عنه حادث خطير سوف يتسبب في وقوع حادث فعلي ، فمن المناسب التمييز بشكل أكبر بين فئات النتائج على النحو التالي: (1) حادثة غير آمنة (أي ، أي حدث غير مقصود بغض النظر عما إذا كان يؤدي إلى إصابة أو ضرر أو خسارة) ، (2) حادث (أي حدث غير آمن ينتج عنه إصابة أو ضرر أو خسارة) ، (3) حادث ضرر (أي حدث غير آمن ينتج عنه نوع من الضرر المادي فقط) ، (4) أ حادث قريب أو "كاد أن يخطئ" (أي حدث غير آمن تم فيه تجنب الإصابة أو الضرر أو الخسارة بالصدفة بهامش ضيق) و (5) وجود حادث محتمل (أي أحداث غير آمنة يمكن أن تؤدي إلى إصابة أو ضرر ، أو الخسارة ، ولكن ، بسبب الظروف ، لم تسفر حتى عن وقوع حادث قريب).

يمكن للمرء أن يميز ثلاثة أنواع أساسية من الخطأ البشري في HAS:

1. الهفوات والانزلاقات القائمة على المهارات
2. الأخطاء المستندة إلى القواعد
3. أخطاء المعرفة.

 

يعتمد هذا التصنيف ، الذي ابتكره Reason (1990) ، على تعديل تصنيف Rasmussen لقاعدة المهارات والمعرفة للأداء البشري كما هو موضح أعلاه. على المستوى القائم على المهارات ، يخضع الأداء البشري لأنماط مخزنة من التعليمات المبرمجة مسبقًا والممثلة في الهياكل التناظرية في مجال الزمكان. المستوى القائم على القواعد قابل للتطبيق على معالجة المشكلات المألوفة التي تحكم الحلول فيها القواعد المخزنة (تسمى "المنتجات" ، حيث يتم الوصول إليها أو إنتاجها عند الحاجة). تتطلب هذه القواعد إجراء تشخيصات (أو أحكام) معينة ، أو اتخاذ إجراءات علاجية معينة ، نظرًا لظهور ظروف معينة تتطلب استجابة مناسبة. في هذا المستوى ، ترتبط الأخطاء البشرية عادةً بسوء تصنيف المواقف ، مما يؤدي إما إلى تطبيق قاعدة خاطئة أو إلى استدعاء غير صحيح للأحكام أو الإجراءات اللاحقة. تحدث الأخطاء القائمة على المعرفة في المواقف الجديدة التي يجب أن يتم التخطيط للإجراءات من أجلها "عبر الإنترنت" (في لحظة معينة) ، باستخدام عمليات تحليلية واعية ومعرفة مخزنة. تنشأ الأخطاء في هذا المستوى من محدودية الموارد والمعرفة غير الكاملة أو غير الصحيحة.

يمكن استخدام أنظمة نمذجة الخطأ العامة (GEMS) التي اقترحها Reason (1990) ، والتي تحاول تحديد أصول أنواع الخطأ البشري الأساسية ، لاشتقاق التصنيف العام للسلوك البشري في HAS. يسعى GEMS إلى دمج مجالين متميزين من البحث عن الأخطاء: (1) الانزلاقات والسفرات ، حيث تنحرف الإجراءات عن النية الحالية بسبب فشل التنفيذ و / أو فشل التخزين و (2) الأخطاء ، التي قد تعمل فيها الإجراءات وفقًا للخطة ، لكن الخطة غير كافية لتحقيق النتيجة المرجوة.

تقييم المخاطر والوقاية منها في CIM

وفقًا لمعيار ISO (1991) ، يجب إجراء تقييم المخاطر في CIM لتقليل جميع المخاطر والعمل كأساس لتحديد أهداف وتدابير السلامة في تطوير البرامج أو الخطط لإنشاء بيئة عمل آمنة ولضمان سلامة وصحة الموظفين كذلك. على سبيل المثال ، يمكن وصف مخاطر العمل في بيئات HAS القائمة على التصنيع على النحو التالي: (1) قد يحتاج المشغل البشري إلى دخول منطقة الخطر أثناء التعافي من الاضطراب ، ومهام الخدمة والصيانة ، (2) يصعب تحديد منطقة الخطر ، للإدراك والتحكم ، (3) قد يكون العمل رتيبًا و (4) غالبًا ما تكون الحوادث التي تحدث داخل أنظمة التصنيع المتكاملة بالكمبيوتر خطيرة. يجب تقييم كل خطر تم تحديده من حيث مخاطره ، ويجب تحديد وتنفيذ تدابير السلامة المناسبة لتقليل هذا الخطر. يجب أيضًا التحقق من المخاطر فيما يتعلق بجميع الجوانب التالية لأي عملية معينة: الوحدة المفردة نفسها ؛ التفاعل بين الوحدات المفردة ؛ أقسام تشغيل النظام ؛ وتشغيل النظام الكامل لجميع أوضاع وظروف التشغيل المقصودة ، بما في ذلك الظروف التي يتم بموجبها تعليق وسائل الحماية العادية لعمليات مثل البرمجة أو التحقق أو استكشاف الأخطاء وإصلاحها أو الصيانة أو الإصلاح.

تتضمن مرحلة تصميم إستراتيجية السلامة ISO (1991) لـ CIM ما يلي:

• مواصفات حدود معلمات النظام
• تطبيق استراتيجية السلامة
• تحديد المخاطر
• تقييم المخاطر المصاحبة
• إزالة المخاطر أو تقليل المخاطر بقدر المستطاع.

 

يجب أن تتضمن مواصفات سلامة النظام ما يلي:

• وصف وظائف النظام
• تخطيط و / أو نموذج النظام
• نتائج المسح الذي تم إجراؤه للتحقيق في تفاعل عمليات العمل المختلفة والأنشطة اليدوية
• تحليل تسلسل العملية ، بما في ذلك التفاعل اليدوي
• وصف للواجهات مع خطوط النقل أو النقل
• مخططات تدفق العملية
• خطط التأسيس
• خطط لتوريد الأجهزة والتخلص منها
• تحديد المساحة المطلوبة لتوريد المواد والتخلص منها
• سجلات الحوادث المتاحة.

 

وفقًا لـ ISO (1991) ، يجب مراعاة جميع المتطلبات اللازمة لضمان تشغيل نظام CIM الآمن عند تصميم إجراءات تخطيط السلامة المنهجية. وهذا يشمل جميع التدابير الوقائية للحد بشكل فعال من المخاطر ويتطلب:

• تكامل واجهة الإنسان والآلة
• التحديد المبكر لموقف أولئك الذين يعملون على النظام (في الزمان والمكان)
• النظر المبكر في طرق تقليل العمل المعزول
• مراعاة الجوانب البيئية.

 

يجب أن يعالج إجراء تخطيط السلامة ، من بين أمور أخرى ، قضايا السلامة التالية الخاصة بـ CIM:

• اختيار أوضاع تشغيل النظام. يجب أن تحتوي معدات التحكم على أحكام لأنماط التشغيل التالية على الأقل: (1) الوضع العادي أو وضع الإنتاج (أي ، مع توصيل وتشغيل جميع الضمانات العادية) ، (2) التشغيل مع تعليق بعض الضمانات العادية و (3) التشغيل في أي نظام أو بدء يدوي عن بعد للحالات الخطرة يتم منعه (على سبيل المثال ، في حالة التشغيل المحلي أو عزل الطاقة أو الانسداد الميكانيكي للظروف الخطرة).
• التدريب والتركيب والتكليف والاختبار الوظيفي. عندما يُطلب من الأفراد التواجد في منطقة الخطر ، يجب توفير تدابير السلامة التالية في نظام التحكم: (1) الاحتفاظ بالتشغيل ، (2) جهاز التمكين ، (3) السرعة المنخفضة ، (4) انخفاض الطاقة و (5) ) توقف طارئ متحرك.
• الأمان في برمجة النظام وصيانته وإصلاحه. أثناء البرمجة ، يجب السماح للمبرمج فقط بالتواجد في المساحة المحمية. يجب أن يكون للنظام إجراءات فحص وصيانة لضمان استمرار التشغيل المقصود للنظام. يجب أن يأخذ برنامج الفحص والصيانة في الاعتبار توصيات مورد النظام وتوصيات موردي العناصر المختلفة للأنظمة. نادراً ما يحتاج إلى ذكر أن الأفراد الذين يقومون بالصيانة أو الإصلاح على النظام يجب أن يتم تدريبهم على الإجراءات اللازمة لأداء المهام المطلوبة.
• القضاء على خطأ. عندما يكون التخلص من الخطأ ضروريًا من داخل المساحة المحمية ، فيجب إجراؤه بعد الفصل الآمن (أو ، إذا أمكن ، بعد تشغيل آلية الإغلاق). ينبغي اتخاذ تدابير إضافية ضد البدء الخاطئ في المواقف الخطرة. حيث يمكن أن تحدث المخاطر أثناء إزالة الأعطال في أقسام النظام أو في آلات الأنظمة أو الآلات المجاورة ، يجب أيضًا إخراجها من التشغيل وحمايتها من بدء التشغيل غير المتوقع. عن طريق التعليمات وعلامات التحذير ، يجب الانتباه إلى التخلص من الأخطاء في مكونات النظام التي لا يمكن ملاحظتها تمامًا.

 

التحكم باضطراب النظام

في العديد من تركيبات HAS المستخدمة في مجال التصنيع المتكامل بالكمبيوتر ، عادة ما تكون هناك حاجة إلى مشغلين بشريين لغرض التحكم أو البرمجة أو الصيانة أو الإعداد المسبق أو الصيانة أو استكشاف الأخطاء وإصلاحها. تؤدي الاضطرابات في النظام إلى مواقف تجعل من الضروري دخول العمال إلى المناطق الخطرة. في هذا الصدد ، يمكن افتراض أن الاضطرابات تظل السبب الأكثر أهمية للتدخل البشري في CIM ، لأن الأنظمة في كثير من الأحيان سيتم برمجتها من خارج المناطق المحظورة. من أهم القضايا المتعلقة بسلامة CIM منع الاضطرابات ، حيث تحدث معظم المخاطر في مرحلة استكشاف الأخطاء وإصلاحها في النظام. إن تجنب الاضطرابات هو الهدف المشترك فيما يتعلق بكل من السلامة وفعالية التكلفة.

الاضطراب في نظام CIM هو حالة أو وظيفة من نظام ينحرف عن الحالة المخطط لها أو المرغوبة. بالإضافة إلى الإنتاجية ، فإن الاضطرابات أثناء تشغيل CIM لها تأثير مباشر على سلامة الأشخاص المشاركين في تشغيل النظام. أظهرت دراسة فنلندية (Kuivanen 1990) أن حوالي نصف الاضطرابات في التصنيع الآلي تقلل من سلامة العمال. كانت الأسباب الرئيسية للاضطرابات هي الأخطاء في تصميم النظام (34٪) ، فشل مكونات النظام (31٪) ، الخطأ البشري (20٪) والعوامل الخارجية (15٪). كانت معظم حالات فشل الماكينة ناتجة عن نظام التحكم ، وفي نظام التحكم ، حدثت معظم الأعطال في أجهزة الاستشعار. تتمثل إحدى الطرق الفعالة لزيادة مستوى أمان تركيبات CIM في تقليل عدد الاضطرابات. على الرغم من أن الأفعال البشرية في الأنظمة المضطربة تمنع وقوع الحوادث في بيئة HAS ، إلا أنها تساهم أيضًا في حدوثها. على سبيل المثال ، أظهرت دراسة الحوادث المتعلقة بأعطال أنظمة التحكم الفنية أن حوالي ثلث تسلسل الحوادث تضمنت تدخلًا بشريًا في حلقة التحكم في النظام المضطرب.

قضايا البحث الرئيسية في منع اضطراب CIM تتعلق بـ (1) الأسباب الرئيسية للاضطرابات ، (2) المكونات والوظائف غير الموثوق بها ، (3) تأثير الاضطرابات على السلامة ، (4) تأثير الاضطرابات على وظيفة النظام ، ( 5) الأضرار المادية و (6) الإصلاحات. يجب التخطيط لسلامة HAS في وقت مبكر في مرحلة تصميم النظام ، مع مراعاة التكنولوجيا والأفراد والمنظمة ، وأن تكون جزءًا لا يتجزأ من عملية التخطيط الفني الشاملة لـ HAS.

تصميم HAS: تحديات المستقبل

لضمان الاستفادة الكاملة من الأنظمة الآلية الهجينة كما تمت مناقشته أعلاه ، هناك حاجة إلى رؤية أوسع لتطوير النظام ، والتي تستند إلى تكامل الأشخاص ، والتنظيم والتكنولوجيا. يجب تطبيق ثلاثة أنواع رئيسية من تكامل النظام هنا:

1. تكامل الناس، من خلال ضمان التواصل الفعال بينهما
2. التكامل بين الإنسان والحاسوب، من خلال تصميم واجهات مناسبة والتفاعل بين الناس وأجهزة الكمبيوتر
3. التكامل التكنولوجي، من خلال ضمان التفاعل والتفاعل الفعال بين الآلات.

 

يجب أن يتضمن الحد الأدنى من متطلبات التصميم للأنظمة الآلية المختلطة ما يلي: (1) المرونة ، (2) التكيف الديناميكي ، (3) تحسين الاستجابة ، و (4) الحاجة إلى تحفيز الناس والاستفادة بشكل أفضل من مهاراتهم وأحكامهم وخبراتهم . يتطلب ما ورد أعلاه أيضًا تطوير الهياكل التنظيمية لـ HAS وممارسات العمل والتقنيات للسماح للأشخاص على جميع مستويات النظام بتكييف استراتيجيات عملهم مع مجموعة متنوعة من مواقف التحكم في الأنظمة. لذلك ، يجب تصميم المنظمات وممارسات العمل وتقنيات HAS وتطويرها كنظم مفتوحة (Kidd 1994).

النظام الآلي الهجين المفتوح (OHAS) هو نظام يتلقى المدخلات من بيئته ويرسل المخرجات إليها. يمكن تطبيق فكرة النظام المفتوح ليس فقط على معماريات النظام والهياكل التنظيمية ، ولكن أيضًا على ممارسات العمل والواجهات بين الإنسان والحاسوب والعلاقة بين الأشخاص والتقنيات: يمكن للمرء أن يذكر ، على سبيل المثال ، أنظمة الجدولة وأنظمة التحكم و أنظمة دعم القرار. النظام المفتوح هو أيضًا نظام تكيفي عندما يسمح للأشخاص بدرجة كبيرة من الحرية لتحديد طريقة تشغيل النظام. على سبيل المثال ، في مجال التصنيع المتقدم ، يمكن تحقيق متطلبات النظام الآلي الهجين المفتوح من خلال مفهوم التصنيع البشري والحاسوب المتكامل (HCIM). من وجهة النظر هذه ، يجب أن يعالج تصميم التكنولوجيا الهيكل العام لنظام HCIM ، بما في ذلك ما يلي: (1) اعتبارات شبكة المجموعات ، (2) هيكل كل مجموعة ، (3) التفاعل بين المجموعات ، (4) طبيعة البرامج الداعمة و (5) احتياجات الاتصال والتكامل التقني بين وحدات البرامج الداعمة.

لا يقيد النظام الآلي الهجين التكيفي ، على عكس النظام المغلق ، ما يمكن أن يفعله المشغلون البشريون. يتمثل دور مصمم نظام HAS في إنشاء نظام يلبي التفضيلات الشخصية للمستخدم ويسمح لمستخدميه بالعمل بالطريقة التي يجدونها أكثر ملاءمة. الشرط الأساسي للسماح بإدخال المستخدم هو تطوير منهجية التصميم التكيفي - أي ، OHAS الذي يسمح بتمكين التكنولوجيا المدعومة بالكمبيوتر لتنفيذها في عملية التصميم. تعد الحاجة إلى تطوير منهجية للتصميم التكيفي أحد المتطلبات الفورية لتحقيق مفهوم OHAS في الممارسة العملية. يجب أيضًا تطوير مستوى جديد من تكنولوجيا التحكم الإشرافي البشري التكيفي. يجب أن تسمح هذه التكنولوجيا للمشغل البشري "برؤية" نظام التحكم غير المرئي بطريقة أخرى لوظيفة HAS - على سبيل المثال ، عن طريق تطبيق نظام فيديو تفاعلي عالي السرعة في كل نقطة من التحكم في النظام وتشغيله. أخيرًا ، هناك حاجة ماسة أيضًا إلى منهجية لتطوير دعم ذكي وعالي التكيف وقائم على الكمبيوتر للأدوار البشرية والأداء البشري في الأنظمة الآلية الهجينة.

 

الرجوع

من المتفق عليه عمومًا أن أنظمة التحكم يجب أن تكون آمنة أثناء الاستخدام. مع وضع ذلك في الاعتبار ، تم تصميم معظم أنظمة التحكم الحديثة كما هو موضح في الشكل 1.

الشكل 1. التصميم العام لأنظمة التحكم

إن أبسط طريقة لجعل نظام التحكم آمنًا هي بناء جدار غير قابل للاختراق حوله لمنع وصول الإنسان أو التدخل في منطقة الخطر. سيكون مثل هذا النظام آمنًا للغاية ، وإن كان غير عملي ، حيث سيكون من المستحيل الوصول إليه من أجل إجراء معظم أعمال الاختبار والإصلاح والتعديل. نظرًا لأنه يجب السماح بالوصول إلى مناطق الخطر في ظل ظروف معينة ، فإن تدابير الحماية بخلاف الجدران والأسوار وما شابه ذلك مطلوبة لتسهيل الإنتاج والتركيب والخدمة والصيانة.

 

يمكن دمج بعض هذه التدابير الوقائية جزئيًا أو كليًا في أنظمة التحكم ، على النحو التالي:

• يمكن إيقاف الحركة على الفور في حالة دخول أي شخص منطقة الخطر ، عن طريق أزرار التوقف في حالات الطوارئ (ES).
• تسمح أدوات التحكم بضغطة زر بالحركة فقط عند تنشيط زر الضغط.
• تسمح أدوات التحكم المزدوجة (DHC) بالحركة فقط عندما يتم تشغيل كلتا اليدين في الضغط على عنصري التحكم (وبالتالي ضمان إبعاد اليدين عن مناطق الخطر).

 

يتم تنشيط هذه الأنواع من تدابير الحماية من قبل المشغلين. ومع ذلك ، نظرًا لأن البشر غالبًا ما يمثلون نقطة ضعف في التطبيقات ، يتم تنفيذ العديد من الوظائف ، مثل ما يلي ، تلقائيًا:

• تكون حركات أذرع الروبوت أثناء الخدمة أو "التدريس" بطيئة جدًا. ومع ذلك ، تتم مراقبة السرعة بشكل مستمر. إذا زادت سرعة أذرع الروبوت الأوتوماتيكية بشكل غير متوقع أثناء الخدمة أو فترة التدريس ، بسبب عطل في نظام التحكم ، فسينشط نظام المراقبة وينهي الحركة على الفور.
• يتم توفير حاجز ضوئي لمنع الوصول إلى منطقة الخطر. إذا انقطع شعاع الضوء ، فسيتوقف الجهاز تلقائيًا.

 

الوظيفة العادية لأنظمة التحكم هي أهم شرط مسبق للإنتاج. إذا تم مقاطعة إحدى وظائف الإنتاج بسبب فشل التحكم ، فإنها تكون غير مريحة على الإطلاق ولكنها ليست خطرة. إذا لم يتم تنفيذ وظيفة تتعلق بالسلامة ، فقد يؤدي ذلك إلى فقد الإنتاج أو تلف المعدات أو الإصابة أو حتى الوفاة. لذلك ، يجب أن تكون وظائف نظام التحكم المتعلقة بالسلامة أكثر موثوقية وأمانًا من وظائف نظام التحكم العادية. وفقًا لتوجيهات المجلس الأوروبي 89/392 / EEC (إرشادات الماكينة) ، يجب تصميم أنظمة التحكم وإنشائها بحيث تكون آمنة وموثوقة.

تتكون عناصر التحكم من عدد من المكونات المتصلة ببعضها البعض لأداء وظيفة واحدة أو أكثر. الضوابط مقسمة إلى قنوات. القناة هي جزء من عنصر تحكم يؤدي وظيفة محددة (على سبيل المثال ، بدء ، توقف ، توقف طارئ). جسديًا ، يتم إنشاء القناة بواسطة سلسلة من المكونات (الترانزستورات ، الثنائيات ، المرحلات ، البوابات ، إلخ) والتي يتم من خلالها ، من مكون إلى التالي ، (معظمها كهربائي) المعلومات التي تمثل هذه الوظيفة من الإدخال إلى الإخراج.

عند تصميم قنوات التحكم للوظائف ذات الصلة بالسلامة (تلك الوظائف التي تشمل البشر) ، يجب استيفاء المتطلبات التالية:

• يجب أن تكون المكونات المستخدمة في قنوات التحكم ذات الوظائف المتعلقة بالسلامة قادرة على تحمل قسوة الاستخدام العادي. عمومًا، يجب أن تكون موثوقة بما فيه الكفاية.
• يجب ألا تسبب الأخطاء في المنطق مواقف خطيرة. عمومًا، يجب أن تكون القناة ذات الصلة بالسلامة دليلاً كافياً على الفشل.
• يجب ألا تؤدي التأثيرات الخارجية (العوامل) إلى إخفاقات مؤقتة أو دائمة في القنوات ذات الصلة بالسلامة.

 

الموثوقية

الموثوقية هي قدرة قناة التحكم أو المكون على أداء وظيفة مطلوبة في ظل ظروف محددة لفترة زمنية معينة دون أن تفشل. (يمكن حساب الاحتمالية لمكونات معينة أو قنوات تحكم باستخدام طرق مناسبة.) يجب دائمًا تحديد الموثوقية لقيمة زمنية محددة. بشكل عام ، يمكن التعبير عن الموثوقية بالصيغة الموضحة في الشكل 2.

الشكل 2. صيغة الموثوقية

موثوقية الأنظمة المعقدة

الأنظمة مبنية من مكونات. إذا كانت موثوقية المكونات معروفة ، فيمكن حساب موثوقية النظام ككل. في مثل هذه الحالات ، ينطبق ما يلي:

أنظمة المسلسل

الموثوقية الإجمالية R_طفل لنظام تسلسلي يتكون من مكونات N لها نفس الموثوقية R_C يحسب كما في الشكل 3.

الشكل 3. رسم بياني موثوقية للمكونات المتصلة تسلسليًا

الموثوقية الكلية أقل من موثوقية المكون الأقل موثوقية. مع زيادة عدد المكونات المتصلة تسلسليًا ، تنخفض الموثوقية الكلية للسلسلة بشكل كبير.

أنظمة موازية

الموثوقية الإجمالية R_طفل لنظام متوازي يتكون من مكونات N لها نفس الموثوقية R_C يحسب كما في الشكل 4.

الشكل 4. رسم بياني موثوقية للمكونات المتصلة المتوازية

يمكن تحسين الموثوقية الكلية بشكل كبير من خلال التوصيل المتوازي لمكونين أو أكثر.

يوضح الشكل 5 مثالاً عمليًا. لاحظ أن الدائرة ستغلق المحرك بشكل أكثر موثوقية. حتى إذا فشل المرحل A أو B في فتح التلامس الخاص به ، فسيظل المحرك مغلقًا.

الشكل 5. مثال عملي على الشكل 4

يعد حساب الموثوقية الإجمالية للقناة أمرًا بسيطًا إذا كانت جميع موثوقيات المكونات الضرورية معروفة ومتاحة. في حالة المكونات المعقدة (الدوائر المتكاملة والمعالجات الدقيقة وما إلى ذلك) ، يكون حساب الموثوقية الكلية أمرًا صعبًا أو مستحيلًا إذا لم يتم نشر المعلومات الضرورية من قبل الشركة المصنعة.

السلامة

عندما يتحدث المحترفون عن السلامة ويدعون إلى آلات آمنة ، فإنهم يقصدون سلامة الماكينة أو النظام بأكمله. ومع ذلك ، فإن هذه السلامة عامة جدًا ، ولم يتم تحديدها بدقة كافية لمصمم عناصر التحكم. التعريف التالي لـ سلامة قد تكون عملية وقابلة للاستخدام لمصممي دوائر التحكم: السلامة هي قدرة نظام التحكم على أداء الوظيفة المطلوبة ضمن الحدود المحددة ، لمدة معينة ، حتى عند حدوث خطأ (أخطاء) متوقعة. وبالتالي ، يجب توضيح مدى "أمان" القناة المتعلقة بالسلامة أثناء التصميم. (يمكن للمصمم تطوير قناة آمنة ضد الفشل الأول ، ضد أي فشل واحد ، ضد فشلين ، وما إلى ذلك) علاوة على ذلك ، قد تكون القناة التي تؤدي وظيفة تُستخدم لمنع الحوادث موثوقة بشكل أساسي ، ولكنها لا تحتوي على أن تكون في مأمن حتمًا ضد الإخفاقات. يمكن تفسير ذلك بشكل أفضل من خلال الأمثلة التالية:

مثال 1

المثال الموضح في الشكل 6 عبارة عن قناة تحكم ذات صلة بالسلامة تؤدي وظيفة السلامة المطلوبة. قد يكون المكون الأول عبارة عن مفتاح يراقب ، على سبيل المثال ، موضع باب الوصول إلى منطقة خطرة. المكون الأخير هو المحرك الذي يقود الأجزاء الميكانيكية المتحركة داخل منطقة الخطر.

الشكل 6. قناة تحكم متعلقة بالسلامة تؤدي وظيفة السلامة المطلوبة

وظيفة الأمان المطلوبة في هذه الحالة هي وظيفة مزدوجة: إذا كان الباب مغلقًا ، فقد يعمل المحرك. إذا كان الباب مفتوحًا ، يجب إيقاف تشغيل المحرك. معرفة المصداقية R₁ إلى R.₆، من الممكن حساب الموثوقية R_طفل. يجب أن يستخدم المصممون مكونات موثوقة من أجل الحفاظ على موثوقية عالية بما فيه الكفاية لنظام التحكم بأكمله (على سبيل المثال ، يجب مراعاة احتمال استمرار أداء هذه الوظيفة في التصميم ، على سبيل المثال ، حتى 20 عامًا). نتيجة لذلك ، يجب على المصممين إنجاز مهمتين: (1) يجب أن تؤدي الدوائر الوظيفة المطلوبة ، و (2) يجب أن تكون موثوقية المكونات وقناة التحكم بأكملها كافية.

يجب طرح السؤال التالي الآن: هل ستؤدي القناة المذكورة أعلاه وظائف السلامة المطلوبة حتى في حالة حدوث عطل في النظام (على سبيل المثال ، إذا تم لصق اتصال الترحيل أو تعطل أحد المكونات)؟ الجواب "لا". والسبب هو أن قناة تحكم واحدة تتكون فقط من مكونات متصلة تسلسليًا وتعمل بإشارات ثابتة ليست آمنة ضد فشل واحد. يمكن أن يكون للقناة موثوقية معينة فقط ، مما يضمن احتمال تنفيذ الوظيفة. في مثل هذه الحالات ، تعني السلامة دائمًا ذات الصلة بالفشل.

مثال 2

إذا أريد لقناة التحكم أن تكون موثوقة وآمنة ، فيجب تعديل التصميم كما في الشكل 7. المثال الموضح هو قناة تحكم ذات صلة بالسلامة تتكون من قناتين فرعيتين منفصلتين تمامًا.

الشكل 7. قناة تحكم ذات صلة بالسلامة مع قناتين فرعيتين منفصلتين تمامًا

يعتبر هذا التصميم آمنًا ضد الفشل الأول (والفشل الإضافي المحتمل في نفس القناة الفرعية) ، ولكنه ليس آمنًا ضد فشلين قد يحدثان في قناتين فرعيتين مختلفتين (في وقت واحد أو في أوقات مختلفة) لأنه لا توجد دائرة للكشف عن الأعطال. وبالتالي ، تعمل كلتا القناتين الفرعيتين في البداية بموثوقية عالية (انظر النظام المتوازي) ، ولكن بعد الفشل الأول ، ستعمل قناة فرعية واحدة فقط ، وتنخفض الموثوقية. في حالة حدوث عطل ثانٍ في القناة الفرعية التي لا تزال تعمل ، فسوف يفشل كلاهما ، ولن يتم تنفيذ وظيفة الأمان بعد ذلك.

مثال 3

المثال الموضح في الشكل 8 عبارة عن قناة تحكم متعلقة بالسلامة تتكون من قناتين فرعيتين منفصلتين تمامًا تراقب كل منهما الأخرى.

الشكل 8. قناة تحكم ذات صلة بالسلامة مع قناتين فرعيتين منفصلتين تمامًا تراقب كل منهما الأخرى

مثل هذا التصميم آمن من الفشل لأنه بعد أي فشل ، لن تعمل سوى قناة فرعية واحدة ، بينما تظل القناة الفرعية الأخرى متاحة وستؤدي وظيفة الأمان. علاوة على ذلك ، يحتوي التصميم على دائرة للكشف عن الأعطال. إذا فشلت كلتا القناتين الفرعيتين في العمل بالطريقة نفسها ، بسبب عطل ، فسيتم اكتشاف هذا الشرط بواسطة دائرة "حصرية" أو "حصرية" ، مما يؤدي إلى إيقاف تشغيل الجهاز تلقائيًا. هذه واحدة من أفضل الطرق لتصميم أدوات التحكم في الماكينة - تصميم قنوات فرعية ذات صلة بالسلامة. فهي آمنة ضد عطل واحد وفي نفس الوقت توفر موثوقية كافية بحيث تكون فرص حدوث إخفاقين في وقت واحد ضئيلة للغاية.

وفرة

من الواضح أن هناك طرقًا مختلفة يمكن للمصمم من خلالها تحسين الموثوقية و / أو السلامة (ضد الفشل). توضح الأمثلة السابقة كيف يمكن تحقيق وظيفة (على سبيل المثال ، الباب مغلق ، يمكن تشغيل المحرك ؛ فتح الباب ، يجب إيقاف المحرك) من خلال حلول مختلفة. بعض الطرق بسيطة للغاية (قناة فرعية واحدة) والبعض الآخر أكثر تعقيدًا (قناتان فرعيتان مع الإشراف المتبادل). (انظر الشكل 9.)

الشكل 9. موثوقية الأنظمة الزائدة عن الحاجة مع أو بدون اكتشاف الأعطال

هناك بعض التكرار في الدوائر و / أو المكونات المعقدة بالمقارنة مع المكونات البسيطة. وفرة يمكن تعريفها على النحو التالي: (1) التكرار هو وجود المزيد من الوسائل (المكونات والقنوات وعوامل الأمان الأعلى والاختبارات الإضافية وما إلى ذلك) مما هو ضروري حقًا للوفاء البسيط بالوظيفة المطلوبة ؛ (2) من الواضح أن التكرار لا "يحسن" الوظيفة ، والتي يتم إجراؤها على أي حال. التكرار يحسن الموثوقية و / أو السلامة فقط.

يعتقد بعض المتخصصين في مجال السلامة أن التكرار هو فقط مضاعفة النظام أو تضاعفه ثلاث مرات وما إلى ذلك. هذا تفسير محدود للغاية ، حيث يمكن تفسير التكرار على نطاق أوسع ومرونة. قد لا يتم تضمين التكرار في الأجهزة فقط ؛ قد يتم تضمينه في البرنامج أيضًا. يمكن أيضًا اعتبار تحسين عامل الأمان (على سبيل المثال ، حبل أقوى بدلاً من حبل أضعف) شكلاً من أشكال التكرار.

الكون

الكون، وهو مصطلح يوجد في الغالب في الديناميكا الحرارية وعلم الفلك ، يمكن تعريفه على النحو التالي: كل شيء يميل نحو الاضمحلال. لذلك ، من المؤكد تمامًا أن جميع المكونات أو الأنظمة الفرعية أو الأنظمة ، بصرف النظر عن التكنولوجيا المستخدمة ، ستفشل في وقت ما. هذا يعني أنه لا توجد أنظمة أو أنظمة فرعية أو مكونات موثوقة و / أو آمنة بنسبة 100٪. جميعها موثوقة وآمنة إلى حد ما ، اعتمادًا على مدى تعقيد الهيكل. تظهر الإخفاقات التي تحدث حتمًا في وقت سابق أو لاحقًا عمل الانتروبيا.

الوسيلة الوحيدة المتاحة للمصممين لمواجهة الإنتروبيا هي التكرار ، والذي يتحقق من خلال (أ) إدخال المزيد من الموثوقية في المكونات و (ب) توفير المزيد من الأمان في جميع أنحاء بنية الدائرة. فقط من خلال زيادة احتمال تنفيذ الوظيفة المطلوبة بشكل كافٍ خلال الفترة الزمنية المطلوبة ، يمكن للمصممين بدرجة ما الدفاع عن الانتروبيا.

تقييم المخاطر

كلما زادت المخاطر المحتملة ، زادت الموثوقية و / أو السلامة (ضد الإخفاقات) المطلوبة (والعكس صحيح). ويتضح ذلك في الحالتين التاليتين:

حالة 1

يتم ضمان الوصول إلى أداة القوالب المثبتة في آلة التشكيل بالحقن بواسطة الباب. إذا كان الباب مغلقًا ، فقد تعمل الماكينة ، وإذا تم فتح الباب ، فيجب إيقاف جميع الحركات الخطرة. تحت أي ظرف من الظروف (حتى في حالة حدوث عطل في القناة المتعلقة بالسلامة) قد تحدث أي حركات ، خاصة تلك التي تشغل الأداة.

حالة 2

الوصول إلى خط التجميع الذي يتم التحكم فيه تلقائيًا والذي يقوم بتجميع المكونات البلاستيكية الصغيرة تحت ضغط هوائي محمي بواسطة باب. إذا تم فتح هذا الباب ، فسيتعين إيقاف الخط.

في الحالة 1 ، إذا فشل نظام التحكم في الإشراف على الباب ، فقد تحدث إصابة خطيرة إذا تم إغلاق الأداة بشكل غير متوقع. في الحالة 2 ، قد ينتج عن ذلك إصابة طفيفة أو ضرر ضئيل فقط في حالة فشل نظام التحكم في الإشراف على الباب.

من الواضح أنه في الحالة الأولى يجب إدخال المزيد من التكرار لتحقيق الموثوقية و / أو الأمان (ضد الفشل) المطلوبين للحماية من المخاطر العالية للغاية. في الواقع ، وفقًا للمعيار الأوروبي EN 201 ، يجب أن يكون لنظام التحكم الإشرافي لباب آلة التشكيل بالحقن ثلاث قنوات ؛ اثنان منها كهربائيتان ويخضعان للإشراف المتبادل وواحد منهما مجهز في الغالب بمكونات هيدروليكية ودوائر اختبار. كل هذه الوظائف الإشرافية الثلاث تتعلق بالباب نفسه.

على العكس من ذلك ، في تطبيقات مثل تلك الموضحة في الحالة 2 ، تكون القناة المفردة التي يتم تنشيطها بواسطة مفتاح بإجراءات إيجابية مناسبة للمخاطر.

فئات التحكم

نظرًا لأن جميع الاعتبارات المذكورة أعلاه تستند عمومًا إلى نظرية المعلومات وبالتالي فهي صالحة لجميع التقنيات ، فلا يهم ما إذا كان نظام التحكم يعتمد على مكونات إلكترونية أو كهروميكانيكية أو ميكانيكية أو هيدروليكية أو تعمل بالهواء المضغوط (أو خليط منها) ، أو على بعض التقنيات الأخرى. إن ابتكار المصمم من ناحية والأسئلة الاقتصادية من ناحية أخرى هي العوامل الأساسية التي تؤثر على عدد لا حصر له من الحلول حول كيفية تحقيق القنوات ذات الصلة بالسلامة.

لمنع الارتباك ، من العملي وضع معايير فرز معينة. يتم تصنيف هياكل القنوات الأكثر شيوعًا المستخدمة في أدوات التحكم في الماكينة لأداء الوظائف المتعلقة بالسلامة وفقًا لما يلي:

• الموثوقية
• السلوك في حالة الفشل
• وقت الكشف عن الفشل.

 

مجموعاتها (لا تظهر جميع المجموعات الممكنة) في الجدول 1.

الجدول 1. بعض التوليفات الممكنة لهياكل الدوائر في أدوات التحكم في الماكينة للوظائف المتعلقة بالسلامة

 

يتم تحديد الفئة المطبقة على آلة معينة ونظام التحكم المتصل بالسلامة الخاص بها في الغالب في المعايير الأوروبية الجديدة (EN) ، ما لم تتفق السلطة الوطنية والمستخدم والشركة المصنعة بشكل متبادل على وجوب تطبيق فئة أخرى. يقوم المصمم بعد ذلك بتطوير نظام تحكم يلبي المتطلبات. على سبيل المثال ، قد تشمل الاعتبارات التي تحكم تصميم قناة التحكم ما يلي:

• يجب أن تتحمل المكونات التأثيرات المتوقعة. (نعم / لا)
• يجب أن يكون بناءها وفقًا لأحدث المعايير. (نعم / لا)
• يتم استخدام مكونات وطرق مجربة جيدًا. (نعم / لا)
• فشل يجب الكشف عنها. (نعم / لا)
• هل سيتم تنفيذ وظيفة الأمان حتى في حالة حدوث عطل؟ (نعم / لا)
• متى سيتم الكشف عن الفشل؟ (أبدًا ، مبكرًا ، فورًا)

 

هذه العملية قابلة للعكس. باستخدام نفس الأسئلة ، يمكن للمرء أن يقرر الفئة التي تنتمي إليها قناة التحكم الموجودة والمطورة مسبقًا.

أمثلة الفئات

الفئة باء

يجب أن تتحمل مكونات قناة التحكم المستخدمة بشكل أساسي في السلع الاستهلاكية التأثيرات المتوقعة وأن يتم تصميمها وفقًا لأحدث ما توصلت إليه التكنولوجيا. قد يكون المفتاح المصمم جيدًا بمثابة مثال.

الفئة 1

يعد استخدام المكونات والطرق التي تمت تجربتها جيدًا أمرًا نموذجيًا للفئة 1. ومثال الفئة 1 هو مفتاح ذو عمل إيجابي (أي يتطلب فتح جهات الاتصال قسريًا). تم تصميم هذا المفتاح بأجزاء قوية ويتم تنشيطه بواسطة قوى عالية نسبيًا ، وبالتالي يصل إلى موثوقية عالية للغاية فقط عند فتح التلامس. على الرغم من جهات الاتصال الملتصقة أو حتى الملحومة ، سيتم فتح هذه المفاتيح. (ملاحظة: لا تعتبر المكونات مثل الترانزستورات والثنائيات مكونات مُجربة جيدًا.) سيكون الشكل 10 بمثابة توضيح لعنصر تحكم من الفئة 1.

الشكل 10. مفتاح مع عمل إيجابي

تستخدم هذه القناة التبديل S مع العمل الإيجابي. يتم الإشراف على الموصل K بواسطة المصباح L. يُنصح المشغل بأن تلتصق جهات الاتصال المفتوحة بشكل طبيعي (NO) عن طريق مصباح الإشارة L. وقد فرض الموصل K جهات اتصال موجّهة. (ملاحظة: المرحلات أو الملامسات ذات التوجيه الإجباري لجهات الاتصال لديها ، بالمقارنة مع المرحلات أو الموصلات المعتادة ، قفص خاص مصنوع من مادة عازلة بحيث إذا كانت جهات الاتصال مغلقة عادةً (NC) ، فيجب فتح جميع جهات الاتصال ، والعكس بالعكس. هذا يعني أنه باستخدام جهات اتصال NC ، يمكن إجراء فحص لتحديد أن جهات الاتصال العاملة ليست ملتصقة أو ملحومة معًا.)

الفئة 2

توفر الفئة 2 الكشف التلقائي عن حالات الفشل. يجب إنشاء الكشف التلقائي عن الأعطال قبل كل حركة خطيرة. فقط إذا كان الاختبار إيجابيًا ، يمكن إجراء الحركة ؛ وإلا سيتم إيقاف الجهاز. يتم استخدام أنظمة الكشف التلقائي عن الأعطال لحواجز الضوء لإثبات أنها لا تزال تعمل. المبدأ موضح في الشكل 1.

الشكل 11. الدائرة بما في ذلك كاشف الفشل

يتم اختبار نظام التحكم هذا بانتظام (أو في بعض الأحيان) عن طريق حقن دفعة للمدخلات. في نظام يعمل بشكل صحيح ، سيتم بعد ذلك نقل هذا الدافع إلى الإخراج ومقارنته بنبضة من مولد اختبار. عند وجود كلا الدافعين ، من الواضح أن النظام يعمل. خلاف ذلك ، إذا لم يكن هناك دافع إخراج ، فقد فشل النظام.

الفئة 3

تم وصف الدوائر الكهربية مسبقًا في المثال 3 في قسم السلامة في هذه المقالة ، الشكل 8.

يمكن تلبية المطلب - أي الكشف التلقائي عن الأعطال والقدرة على أداء وظيفة الأمان حتى لو حدث عطل واحد في أي مكان - من خلال هياكل التحكم ذات القناتين والإشراف المتبادل على القناتين.

بالنسبة لأجهزة التحكم في الماكينة فقط ، يجب التحقيق في الأعطال الخطيرة. وتجدر الإشارة إلى أن هناك نوعين من الفشل:

• غير خطير الأعطال هي تلك التي ، بعد حدوثها ، تتسبب في "حالة آمنة" للآلة من خلال توفير إيقاف تشغيل المحرك.
• خطير الأعطال هي تلك التي تتسبب ، بعد حدوثها ، في "حالة غير آمنة" للجهاز ، حيث لا يمكن إيقاف تشغيل المحرك أو يبدأ المحرك في التحرك بشكل غير متوقع.

الفئة 4

توفر الفئة 4 عادةً تطبيق إشارة ديناميكية ومتغيرة باستمرار على المدخلات. يعني وجود إشارة ديناميكية على الخرج تشغيل ("1") ، ويعني عدم وجود إشارة ديناميكية توقف ("0").

بالنسبة لمثل هذه الدوائر ، من المعتاد أنه بعد فشل أي مكون ، لن تكون الإشارة الديناميكية متاحة على الخرج. (ملحوظة: الإمكانات الساكنة في المخرجات غير ذات صلة.) يمكن تسمية هذه الدوائر بأنها "آمنة من الفشل". سيتم الكشف عن جميع حالات الفشل على الفور ، وليس بعد التغيير الأول (كما في دوائر الفئة 3).

مزيد من التعليقات على فئات التحكم

تم تطوير الجدول 1 لعناصر التحكم المعتادة في الماكينة ويوضح هياكل الدوائر الأساسية فقط ؛ وفقًا لتوجيهات الماكينة ، يجب حسابها على افتراض أن فشلًا واحدًا فقط سيحدث في دورة آلة واحدة. هذا هو السبب في أنه ليس من الضروري أداء وظيفة الأمان في حالة حدوث عطلين متزامنين. من المفترض أن يتم اكتشاف عطل خلال دورة آلة واحدة. سيتم إيقاف الجهاز ثم إصلاحه. ثم يبدأ نظام التحكم مرة أخرى ، ويعمل بكامل طاقته ، دون أعطال.

يجب أن يكون الهدف الأول للمصمم هو عدم السماح بإخفاقات "دائمة" ، والتي لن يتم اكتشافها خلال دورة واحدة حيث قد يتم دمجها لاحقًا مع حالات الفشل التي تحدث حديثًا (تراكم الفشل). يمكن أن تتسبب مثل هذه المجموعات (فشل دائم وفشل جديد) في حدوث خلل في الدوائر حتى من الفئة 3.

على الرغم من هذه التكتيكات ، فمن الممكن أن يحدث فشلان مستقلان في نفس الوقت في نفس دورة الآلة. إنه أمر غير محتمل للغاية ، خاصة إذا تم استخدام مكونات موثوقة للغاية. بالنسبة للتطبيقات شديدة الخطورة ، يجب استخدام ثلاثة قنوات فرعية أو أكثر. تستند هذه الفلسفة إلى حقيقة أن متوسط ​​الوقت بين حالات الفشل أطول بكثير من دورة الآلة.

هذا لا يعني ، مع ذلك ، أن الجدول لا يمكن توسيعه بشكل أكبر. الجدول 1 مشابه جدًا من حيث الأساس والهيكل للجدول 2 المستخدم في EN 954-1. ومع ذلك ، فإنه لا يحاول تضمين عدد كبير جدًا من معايير الفرز. يتم تحديد المتطلبات وفقًا لقوانين المنطق الصارمة ، بحيث يمكن توقع إجابات واضحة فقط (نعم أو لا). يتيح ذلك إجراء تقييم وفرز وتصنيف أكثر دقة للدوائر المقدمة (القنوات المتعلقة بالسلامة) ، وأخيراً وليس آخراً ، تحسين كبير في استنساخ التقييم.

سيكون من المثالي إذا أمكن تصنيف المخاطر في مستويات مختلفة من المخاطر ومن ثم إقامة صلة محددة بين مستويات وفئات المخاطر ، مع استقلالية كل هذا عن التكنولوجيا المستخدمة. ومع ذلك ، هذا ليس ممكنا تماما. في وقت مبكر بعد إنشاء الفئات ، أصبح من الواضح أنه حتى مع وجود نفس التكنولوجيا ، لم يتم الرد على الأسئلة المختلفة بشكل كافٍ. أيهما أفضل: مكون موثوق للغاية ومصمم جيدًا من الفئة 1 ، أم نظام يفي بمتطلبات الفئة 3 بموثوقية ضعيفة؟

لشرح هذه المعضلة يجب على المرء أن يفرق بين صفتين: الموثوقية والأمان (ضد الفشل). لا يمكن مقارنتهما ، حيث أن لكلتا الصفات ميزات مختلفة:

• يحتوي المكون الذي يتمتع بأعلى موثوقية على ميزة غير سارة وهي أنه في حالة الفشل (حتى لو كان غير محتمل للغاية) ، ستتوقف الوظيفة عن الأداء.
• أنظمة الفئة 3 ، حتى في حالة حدوث عطل واحد سيتم تنفيذ الوظيفة ، ليست آمنة ضد فشلين في نفس الوقت (ما قد يكون مهمًا هو ما إذا تم استخدام مكونات موثوقة بدرجة كافية).

بالنظر إلى ما سبق ، قد يكون الحل الأفضل (من وجهة نظر عالية المخاطر) هو استخدام مكونات موثوقة للغاية وتكوينها بحيث تكون الدوائر آمنة ضد عطل واحد على الأقل (يفضل أكثر). من الواضح أن مثل هذا الحل ليس الأكثر اقتصادا. من الناحية العملية ، فإن عملية التحسين هي في الغالب نتيجة لكل هذه التأثيرات والاعتبارات.

تُظهر الخبرة في الاستخدام العملي للفئات أنه نادرًا ما يكون من الممكن تصميم نظام تحكم يمكنه استخدام فئة واحدة فقط طوال الوقت. يعتبر الجمع بين جزأين أو حتى ثلاثة أجزاء ، كل جزء من فئة مختلفة ، نموذجيًا ، كما هو موضح في المثال التالي:

تم تصميم العديد من حواجز إضاءة الأمان في الفئة 4 ، حيث تعمل قناة واحدة بإشارة ديناميكية. في نهاية هذا النظام ، توجد عادةً قناتان فرعيتان خاضعتان للإشراف المتبادل تعملان مع الإشارات الثابتة. (هذا يفي بمتطلبات الفئة 3.)

وفقًا لـ EN 50100 ، يتم تصنيف حواجز الضوء هذه على أنها اكتب 4 أجهزة واقية حساسة للكهرباء، على الرغم من أنها تتكون من جزأين. لسوء الحظ ، لا يوجد اتفاق حول كيفية تسمية أنظمة التحكم المكونة من جزأين أو أكثر ، كل جزء من فئة أخرى.

الأنظمة الإلكترونية القابلة للبرمجة (PESs)

المبادئ المستخدمة لإنشاء الجدول 1 ، مع بعض القيود بالطبع ، يمكن تطبيقها بشكل عام على PESs أيضًا.

نظام PES فقط

عند استخدام PES للتحكم ، يتم نقل المعلومات من المستشعر إلى المنشط من خلال عدد كبير من المكونات. أبعد من ذلك ، حتى أنه يمر "من خلال" البرامج. (انظر الشكل 12).

الشكل 12. دائرة نظام PES

على الرغم من أن PESs الحديثة موثوقة للغاية ، إلا أن الموثوقية ليست عالية بالقدر المطلوب لمعالجة وظائف السلامة. علاوة على ذلك ، فإن أنظمة PES المعتادة ليست آمنة بما يكفي ، لأنها لن تؤدي الوظيفة المتعلقة بالسلامة في حالة حدوث عطل. لذلك ، لا يُسمح باستخدام PESs لمعالجة وظائف السلامة دون أي تدابير إضافية.

تطبيقات منخفضة المخاطر للغاية: أنظمة ذات PES وتدابير إضافية

عند استخدام PES واحد للتحكم ، يتكون النظام من الأجزاء الأساسية التالية:

جزء الإدخال

يمكن تحسين موثوقية المستشعر ومدخلات PES من خلال مضاعفتهما. يمكن الإشراف على تكوين إدخال النظام المزدوج هذا بواسطة البرنامج للتحقق مما إذا كان كلا النظامين الفرعيين يقدمان نفس المعلومات. وبالتالي يمكن الكشف عن الأعطال في جزء الإدخال. هذه هي نفس الفلسفة تقريبًا كما هو مطلوب للفئة 3. ومع ذلك ، نظرًا لأن الإشراف يتم بواسطة برنامج ومرة ​​واحدة فقط ، قد يتم تصنيف هذا على أنه 3 (أو غير موثوق به مثل 3).

الجزء الأوسط

على الرغم من أنه لا يمكن مضاعفة هذا الجزء بشكل جيد ، إلا أنه يمكن اختباره. عند التبديل (أو أثناء التشغيل) ، يمكن إجراء فحص لمجموعة التعليمات بالكامل. في نفس الفترات الزمنية ، يمكن أيضًا فحص الذاكرة من خلال أنماط البت المناسبة. إذا تم إجراء مثل هذه الفحوصات دون عطل ، فمن الواضح أن كلا الجزأين ووحدة المعالجة المركزية والذاكرة يعملان بشكل صحيح. يحتوي الجزء الأوسط على ميزات معينة نموذجية للفئة 4 (إشارة ديناميكية) وأخرى نموذجية للفئة 2 (يتم إجراء الاختبار بانتظام على فترات مناسبة). المشكلة هي أن هذه الاختبارات ، على الرغم من اتساعها ، لا يمكن أن تكون كاملة حقًا ، لأن نظام PES لا يسمح بها بطبيعته.

جزء الإخراج

على غرار الإدخال ، يمكن أيضًا مضاعفة الإخراج (بما في ذلك المنشطات). يمكن الإشراف على كلا النظامين الفرعيين فيما يتعلق بنفس النتيجة. سيتم الكشف عن الأعطال وسيتم تنفيذ وظيفة السلامة. ومع ذلك ، هناك نفس نقاط الضعف الموجودة في جزء الإدخال. وبالتالي ، يتم اختيار الفئة 3 في هذه الحالة.

في الشكل 13 ، يتم إحضار نفس الوظيفة إلى المرحلات A و B. اتصالات التحكم a و b, ثم يُعلم نظامي إدخال ما إذا كان كلا المرحّلين يقومان بنفس العمل (ما لم يحدث فشل في إحدى القنوات). يتم الإشراف مرة أخرى بواسطة البرنامج.

الشكل 13. دارة PES بنظام كشف الأعطال

يمكن وصف النظام بأكمله بالفئة 3/4/2 / 3- إذا تم القيام به بشكل صحيح ومكثف. ومع ذلك ، لا يمكن القضاء على نقاط الضعف في مثل هذه الأنظمة على النحو الموصوف أعلاه بشكل كامل. في الواقع ، يتم استخدام PESs المحسنة في الواقع للوظائف المتعلقة بالسلامة فقط عندما تكون المخاطر منخفضة نوعًا ما (Hölscher and Rader 1984).

تطبيقات منخفضة ومتوسطة المخاطر مع PES واحد

اليوم ، تم تجهيز كل آلة تقريبًا بوحدة تحكم PES. لحل مشكلة الموثوقية غير الكافية والأمان غير الكافي عادةً ضد الفشل ، تُستخدم طرق التصميم التالية بشكل شائع:

• في الآلات البسيطة نسبيًا مثل المصاعد ، يتم تقسيم الوظائف إلى مجموعتين: (1) تتم معالجة الوظائف التي لا تتعلق بالسلامة بواسطة PES ؛ (2) يتم دمج الوظائف المتعلقة بالسلامة في سلسلة واحدة (دائرة الأمان) ومعالجتها خارج PES (انظر الشكل 14).

 

الشكل 14. حالة من الفن لفئة التوقف 0

• الطريقة المذكورة أعلاه ليست مناسبة للآلات الأكثر تعقيدًا. أحد الأسباب هو أن مثل هذه الحلول عادة ما تكون غير آمنة بدرجة كافية. بالنسبة للتطبيقات ذات المخاطر المتوسطة ، يجب أن تفي الحلول بمتطلبات الفئة 3. يتم تقديم الأفكار العامة حول الشكل الذي قد تبدو عليه هذه التصاميم في الشكل 15 والشكل 16.

 

الشكل 15. حالة من الفن لفئة التوقف 1

 

الشكل 16. حالة من الفن لفئة التوقف 2

التطبيقات عالية الخطورة: أنظمة ذات اثنين (أو أكثر) من PES

بصرف النظر عن التعقيد والنفقات ، لا توجد عوامل أخرى تمنع المصممين من استخدام أنظمة PES المضاعفة بالكامل مثل Siemens Simatic S5-115F و 3B6 Typ CAR-MIL وما إلى ذلك. تتضمن هذه عادةً اثنين من PESs متطابقة مع برامج متجانسة ، وتفترض استخدام PESs "المجربة جيدًا" والمجمعين "الذين تم تجربتهم جيدًا" (يمكن اعتبار PES أو المحول البرمجي الذي تم تجربته جيدًا واحدًا في العديد من التطبيقات العملية على مدار 3 سنوات أو أكثر أظهر أنه تم القضاء بشكل واضح على حالات الفشل المنهجية). على الرغم من أن أنظمة PES المضاعفة لا تحتوي على نقاط ضعف أنظمة PES المفردة ، إلا أن هذا لا يعني أن أنظمة PES المضاعفة تحل جميع المشكلات. (انظر الشكل 17).

الشكل 17. نظام متطور مع اثنين من PES

فشل منهجي

قد تنجم الإخفاقات المنهجية عن أخطاء في المواصفات والتصميم وأسباب أخرى ، وقد تكون موجودة في الأجهزة وكذلك في البرامج. تعد أنظمة PES المزدوجة مناسبة للاستخدام في التطبيقات المتعلقة بالسلامة. تسمح هذه التكوينات باكتشاف أعطال الأجهزة العشوائية. عن طريق تنوع الأجهزة مثل استخدام نوعين مختلفين ، أو منتجات لشركتين مختلفتين ، يمكن الكشف عن أعطال منتظمة في الأجهزة (من المستبعد جدًا أن يحدث فشل منهجي مماثل للأجهزة في كل من PES).

تطبيقات الكمبيوتر

البرمجيات هي عنصر جديد في اعتبارات السلامة. البرنامج إما صحيح أو غير صحيح (فيما يتعلق بالفشل). بمجرد تصحيح البرنامج ، لا يمكن أن يصبح غير صحيح على الفور (مقارنة بالأجهزة). الهدف هو القضاء على جميع الأخطاء في البرنامج أو على الأقل تحديدها.

هناك طرق مختلفة لتحقيق هذا الهدف. واحد هو التحقق من البرنامج (يحاول شخص ثانٍ اكتشاف الأخطاء في اختبار لاحق). الاحتمال الآخر هو تنوع من البرنامج ، حيث يقوم برنامجان مختلفان ، كتبهما مبرمجان ، بمعالجة نفس المشكلة. إذا كانت النتائج متطابقة (ضمن حدود معينة) ، يمكن افتراض أن كلا قسمي البرنامج صحيحان. إذا كانت النتائج مختلفة ، فمن المفترض أن الأخطاء موجودة. (ملحوظة ، إن هندسة معمارية يجب أيضًا مراعاة الأجهزة بشكل طبيعي.)

نبذة عامة

عند استخدام PES ، يجب أخذ نفس الاعتبارات الأساسية التالية في الاعتبار (كما هو موضح في الأقسام السابقة).

• يمكن تخصيص نظام تحكم واحد بدون أي تكرار للفئة ب. قد يكون نظام تحكم واحد مع تدابير إضافية من الفئة 1 أو حتى أعلى ، ولكن ليس أعلى من 2.
• يمكن تخصيص نظام تحكم من جزأين مع مقارنة متبادلة للنتائج للفئة 3. ويمكن تخصيص نظام تحكم من جزأين مع مقارنة متبادلة للنتائج وتنوع أكثر أو أقل للفئة 3 وهو مناسب للتطبيقات عالية المخاطر.

هناك عامل جديد وهو أنه بالنسبة للنظام الذي يحتوي على PES ، يجب تقييم البرامج حتى من وجهة نظر الصحة. البرنامج ، إذا كان صحيحًا ، موثوق به بنسبة 100٪. في هذه المرحلة من التطور التكنولوجي ، ربما لن يتم استخدام أفضل الحلول التقنية الممكنة والمعروفة ، لأن العوامل المقيدة لا تزال اقتصادية. علاوة على ذلك ، تستمر مجموعات مختلفة من الخبراء في تطوير معايير تطبيقات السلامة الخاصة بـ PES (على سبيل المثال ، EC ، EWICS). على الرغم من وجود العديد من المعايير المتاحة بالفعل (VDE0801 و IEC65A وما إلى ذلك) ، فإن هذا الأمر واسع ومعقد لدرجة أنه لا يمكن اعتبار أي منها نهائيًا.

 

الرجوع

عندما يتم تشغيل معدات الإنتاج البسيطة والتقليدية ، مثل أدوات الآلات ، تكون النتيجة أنظمة تقنية معقدة بالإضافة إلى مخاطر جديدة. يتم تحقيق هذه الأتمتة من خلال استخدام أنظمة التحكم الرقمي بالكمبيوتر (CNC) على أدوات الماكينة ، والتي تسمى أدوات آلة التصنيع باستخدام الحاسب الآلي (على سبيل المثال ، آلات الطحن ومراكز المعالجة والمثاقب والمطاحن). من أجل التمكن من تحديد المخاطر المحتملة الكامنة في الأدوات الآلية ، يجب تحليل أنماط التشغيل المختلفة لكل نظام. تشير التحليلات التي تم إجراؤها سابقًا إلى أنه يجب التمييز بين نوعين من العمليات: التشغيل العادي والتشغيل الخاص.

غالبًا ما يكون من المستحيل وصف متطلبات السلامة لأدوات ماكينات CNC في شكل تدابير محددة. قد يكون هذا بسبب وجود عدد قليل جدًا من اللوائح والمعايير الخاصة بالمعدات التي توفر حلولًا ملموسة. يمكن تحديد متطلبات السلامة فقط إذا تم تحديد المخاطر المحتملة بشكل منهجي من خلال إجراء تحليل للمخاطر ، خاصة إذا كانت هذه الأنظمة التقنية المعقدة مزودة بأنظمة تحكم قابلة للبرمجة بحرية (كما هو الحال مع أدوات ماكينات CNC).

في حالة أدوات آلة CNC المطورة حديثًا ، تلتزم الشركة المصنعة بإجراء تحليل للمخاطر على المعدات من أجل تحديد أي مخاطر قد تكون موجودة وإظهار الحلول البناءة لجميع المخاطر التي يتعرض لها الأشخاص ، في جميع يتم التخلص من أوضاع التشغيل المختلفة. يجب أن تخضع جميع المخاطر المحددة لتقييم المخاطر حيث يعتمد كل خطر لحدث ما على نطاق الضرر وتكرار حدوثه. يتم أيضًا إعطاء الخطر المراد تقييمه فئة مخاطر (منخفضة ، طبيعية ، متزايدة). حيثما لا يمكن قبول الخطر على أساس تقييم المخاطر ، يجب إيجاد الحلول (تدابير السلامة). الغرض من هذه الحلول هو تقليل تواتر الحدوث ونطاق الضرر لحادث غير مخطط له وخطير محتمل ("حدث").

يمكن العثور على نهج الحلول للمخاطر العادية والمتزايدة في تكنولوجيا السلامة غير المباشرة والمباشرة ؛ لتقليل المخاطر ، يمكن العثور عليها في تكنولوجيا سلامة الإحالة:

• تقنية الأمان المباشر. يتم توخي الحذر في مرحلة التصميم للتخلص من أي مخاطر (على سبيل المثال ، القضاء على نقاط القص والحصار).
• تكنولوجيا السلامة غير المباشرة. يبقى الخطر. ومع ذلك ، فإن إضافة الترتيبات التقنية يمنع الخطر من التحول إلى حدث (على سبيل المثال ، قد تشمل هذه الترتيبات منع الوصول إلى الأجزاء المتحركة الخطرة عن طريق أغطية السلامة المادية ، وتوفير أجهزة السلامة التي تعمل على انقطاع التيار الكهربائي ، والحماية من الطيران أجزاء باستخدام واقيات السلامة ، وما إلى ذلك).
• تقنية سلامة الإحالة. هذا ينطبق فقط على الأخطار المتبقية والمخاطر المصغرة - أي المخاطر التي يمكن أن تؤدي إلى حدث نتيجة لعوامل بشرية. يمكن منع حدوث مثل هذا الحدث من خلال السلوك المناسب من جانب الشخص المعني (على سبيل المثال ، التعليمات الخاصة بالسلوك في كتيبات التشغيل والصيانة ، وتدريب الموظفين ، وما إلى ذلك).

 

متطلبات السلامة الدولية

يحدد توجيه EC Machinery (89/392 / EEC) لعام 1989 متطلبات السلامة والصحة الرئيسية للآلات. (وفقًا لتوجيهات الماكينة ، تعتبر الآلة هي مجموع الأجزاء أو الأجهزة المترابطة ، والتي يمكن أن يتحرك أحدها على الأقل وله وظيفة في المقابل.) بالإضافة إلى ذلك ، يتم إنشاء المعايير الفردية من قبل هيئات التقييس الدولية لتوضيح ما هو ممكن الحلول (على سبيل المثال ، من خلال الاهتمام بجوانب السلامة الأساسية ، أو عن طريق فحص المعدات الكهربائية المجهزة بالآلات الصناعية). الهدف من هذه المعايير هو تحديد أهداف الحماية. تمنح متطلبات السلامة الدولية هذه الشركات المصنعة الأساس القانوني اللازم لتحديد هذه المتطلبات في تحليلات المخاطر المذكورة أعلاه وتقييمات المخاطر.

لتشغيل وسائط

عند استخدام الأدوات الآلية ، يتم التمييز بين التشغيل العادي والتشغيل الخاص. تشير الإحصائيات والتحقيقات إلى أن غالبية الحوادث والحوادث لا تحدث في التشغيل العادي (أي أثناء الإنجاز التلقائي للمهمة المعنية). مع هذه الأنواع من الآلات والتركيبات ، هناك تركيز على أوضاع خاصة للعمليات مثل التشغيل أو الإعداد أو البرمجة أو التشغيل الاختباري أو الفحوصات أو استكشاف الأخطاء وإصلاحها أو الصيانة. في أوضاع التشغيل هذه ، يكون الأشخاص عادة في منطقة خطر. يجب أن يحمي مفهوم السلامة الأفراد من الأحداث الضارة في هذه الأنواع من المواقف.

عملية عادية

ينطبق ما يلي على الآلات الأوتوماتيكية عند تنفيذ التشغيل العادي: (1) تفي الماكينة بالمهمة التي تم تصميمها وبناؤها من أجلها دون أي تدخل إضافي من المشغل ، و (2) يتم تطبيقها على آلة تدوير بسيطة ، وهذا يعني أن يتم تحويل الشغل إلى الشكل الصحيح ويتم إنتاج الرقائق. إذا تم تغيير قطعة العمل يدويًا ، فإن تغيير قطعة العمل هو وضع خاص للتشغيل.

أوضاع التشغيل الخاصة

طرق التشغيل الخاصة هي عمليات التشغيل التي تسمح بالتشغيل العادي. تحت هذا العنوان ، على سبيل المثال ، قد يشمل المرء تغييرات الشغل أو الأداة ، وتصحيح الخطأ في عملية الإنتاج ، وتصحيح خطأ الآلة ، والإعداد ، والبرمجة ، وتشغيل الاختبار ، والتنظيف ، والصيانة. في التشغيل العادي ، تفي الأنظمة الأوتوماتيكية بمهامها بشكل مستقل. ومع ذلك ، من وجهة نظر سلامة العمل ، يصبح التشغيل العادي التلقائي أمرًا بالغ الأهمية عندما يتعين على المشغل التدخل في عمليات العمل. لا يجوز بأي حال من الأحوال أن يتعرض الأشخاص الذين يتدخلون في مثل هذه العمليات للمخاطر.

فردي

يجب مراعاة الأشخاص الذين يعملون في أوضاع التشغيل المختلفة وكذلك الأطراف الثالثة عند حماية أدوات الماكينة. تشمل الجهات الخارجية أيضًا الأشخاص المعنيين بشكل غير مباشر بالآلة ، مثل المشرفين والمفتشين والمساعدين لنقل المواد وتفكيك العمل والزوار وغيرهم.

المطالب وتدابير السلامة لملحقات الماكينة

تعني التدخلات للوظائف في أوضاع التشغيل الخاصة أنه يجب استخدام الملحقات الخاصة لضمان إمكانية إجراء العمل بأمان. ال النوع الأول من الملحقات تشمل المعدات والعناصر المستخدمة للتدخل في العملية التلقائية دون أن يضطر المشغل إلى الوصول إلى منطقة خطرة. يشتمل هذا النوع من الملحقات على (1) خطاطيف وملاقط للرقائق تم تصميمها بحيث يمكن إزالة الرقائق الموجودة في منطقة المعالجة أو سحبها بعيدًا من خلال الفتحات المتوفرة في واقيات الأمان ، و (2) أجهزة تثبيت قطع العمل التي تستخدم بها مادة الإنتاج يمكن إدخالها يدويًا أو إزالتها من دورة تلقائية

العديد من أساليب التشغيل الخاصة - على سبيل المثال ، أعمال الإصلاح أو أعمال الصيانة - تجعل من الضروري للأفراد التدخل في النظام. في هذه الحالات أيضًا ، هناك مجموعة كاملة من ملحقات الماكينة المصممة لزيادة سلامة العمل - على سبيل المثال ، الأجهزة للتعامل مع عجلات الطحن الثقيلة عندما يتم تغيير الأخير على المطاحن ، وكذلك الرافعات الخاصة للرافعات لتفكيك أو تركيب المكونات الثقيلة عند تم إصلاح الآلات. هذه الأجهزة هي النوع الثاني من ملحقات الماكينة لزيادة السلامة أثناء العمل في العمليات الخاصة. يمكن أيضًا اعتبار أنظمة التحكم في التشغيل الخاصة على أنها تمثل نوعًا ثانيًا من ملحقات الماكينة. يمكن تنفيذ أنشطة معينة بأمان باستخدام هذه الملحقات - على سبيل المثال ، يمكن إعداد جهاز في محاور الماكينة عندما تكون حركات التغذية ضرورية مع فتح واقيات السلامة.

يجب أن تلبي أنظمة التحكم في التشغيل الخاصة متطلبات السلامة الخاصة. على سبيل المثال ، يجب عليهم التأكد من أن الحركة المطلوبة فقط يتم تنفيذها بالطريقة المطلوبة وطالما طلب ذلك فقط. لذلك يجب تصميم نظام التحكم في التشغيل الخاص بطريقة تمنع تحول أي عمل خاطئ إلى حركات أو حالات خطرة.

يمكن اعتبار المعدات التي تزيد من درجة أتمتة التثبيت أ النوع الثالث من ملحقات الماكينة لزيادة سلامة العمل. الإجراءات التي تم تنفيذها يدويًا في السابق يتم تنفيذها تلقائيًا بواسطة الماكينة في التشغيل العادي ، مثل المعدات بما في ذلك لوادر البوابة ، والتي تغير قطع العمل على أدوات الماكينة تلقائيًا. تسبب حماية التشغيل التلقائي العادي مشاكل قليلة لأن تدخل المشغل في سياق الأحداث غير ضروري ولأن التدخلات المحتملة يمكن منعها بواسطة أجهزة السلامة.

متطلبات وإجراءات السلامة لأتمتة أدوات الآلات

لسوء الحظ ، لم تؤد الأتمتة إلى القضاء على الحوادث في مصانع الإنتاج. تظهر التحقيقات ببساطة تحولًا في وقوع الحوادث من العمليات العادية إلى العمليات الخاصة ، ويرجع ذلك في المقام الأول إلى أتمتة التشغيل العادي بحيث لا تكون التدخلات في سياق الإنتاج ضرورية وبالتالي لم يعد الموظفون معرضين للخطر. من ناحية أخرى ، فإن الآلات عالية الأوتوماتيكية هي أنظمة معقدة يصعب تقييمها عند حدوث الأعطال. حتى المتخصصين الذين تم توظيفهم لتصحيح العيوب ليسوا دائمًا قادرين على القيام بذلك دون التعرض لحوادث. تتزايد كمية البرامج اللازمة لتشغيل الآلات المعقدة بشكل متزايد من حيث الحجم والتعقيد ، مما أدى إلى تعرض عدد متزايد من المهندسين الكهربائيين والتكليفين للحوادث. لا يوجد شيء مثل البرامج الخالية من العيوب ، وغالبًا ما تؤدي التغييرات في البرامج إلى تغييرات في أماكن أخرى لم تكن متوقعة أو مرغوبة. من أجل منع تأثر السلامة ، يجب ألا يكون السلوك الخاطئ الخطير الناجم عن التأثير الخارجي وفشل المكونات ممكنًا. لا يمكن استيفاء هذا الشرط إلا إذا تم تصميم دائرة الأمان بأكبر قدر ممكن من البساطة ومنفصلة عن باقي عناصر التحكم. يجب أيضًا أن تكون العناصر أو التجميعات الفرعية المستخدمة في دائرة الأمان آمنة من الفشل.

تتمثل مهمة المصمم في تطوير التصاميم التي تلبي متطلبات السلامة. لا يمكن للمصمم تجنب الاضطرار إلى النظر في إجراءات العمل الضرورية ، بما في ذلك أنماط التشغيل الخاصة ، بعناية فائقة. يجب إجراء التحليلات لتحديد إجراءات العمل الآمنة اللازمة ، ويجب أن يكون موظفو التشغيل على دراية بها. في معظم الحالات ، سيكون من الضروري وجود نظام تحكم للتشغيل الخاص. عادة ما يراقب نظام التحكم أو ينظم الحركة ، بينما في نفس الوقت ، لا يجب بدء أي حركة أخرى (حيث لا توجد حاجة إلى حركة أخرى لهذا العمل ، وبالتالي لا يتوقع المشغل أي حركة). لا يتعين على نظام التحكم بالضرورة تنفيذ نفس المهام في مختلف أوضاع التشغيل الخاص.

المتطلبات وإجراءات السلامة في أوضاع التشغيل العادية والخاصة

عملية عادية

لا ينبغي أن تعيق تحديد أهداف السلامة التقدم التقني لأنه يمكن اختيار الحلول الملائمة. يؤدي استخدام أدوات آلة CNC إلى الحد الأقصى من المطالب المتعلقة بتحليل المخاطر وتقييم المخاطر ومفاهيم السلامة. فيما يلي وصف للعديد من أهداف السلامة والحلول الممكنة بمزيد من التفصيل.

هدف السلامة

• يجب منع الوصول اليدوي أو المادي إلى المناطق الخطرة أثناء الحركات التلقائية.

 

الحلول الممكنة

• منع الوصول اليدوي أو المادي إلى مناطق الخطر عن طريق الحواجز الميكانيكية.
• توفير أجهزة السلامة التي تستجيب عند الاقتراب (حواجز الضوء ، حصائر الأمان) وإيقاف تشغيل الآلات بأمان أثناء التدخلات أو الدخول.
• السماح بالوصول اليدوي أو المادي إلى الآلات (أو المناطق المجاورة لها) فقط عندما يكون النظام بأكمله في حالة آمنة (على سبيل المثال ، باستخدام أجهزة متشابكة مع آليات إغلاق على أبواب الوصول).

 

هدف السلامة

• يجب التخلص من احتمال إصابة أي شخص نتيجة إطلاق الطاقة (الأجزاء المتطايرة أو حزم الطاقة).

 

حل ممكن

• منع إطلاق الطاقة من منطقة الخطر - على سبيل المثال ، من خلال غطاء أمان ذي أبعاد مقابلة.

 

عملية خاصة

تعد الواجهات بين التشغيل العادي والتشغيل الخاص (على سبيل المثال ، أجهزة تشابك الأبواب ، وحواجز الضوء ، وحصائر الأمان) ضرورية لتمكين نظام التحكم في السلامة من التعرف تلقائيًا على وجود الأفراد. يصف ما يلي بعض أوضاع التشغيل الخاصة (مثل الإعداد والبرمجة) على أدوات ماكينات CNC التي تتطلب حركات يجب تقييمها مباشرة في موقع التشغيل.

أهداف السلامة

• يجب أن تتم الحركات فقط بطريقة لا تشكل خطراً على الأشخاص المعنيين. يجب تنفيذ هذه الحركات فقط بالأسلوب والسرعة المجدولين واستمرارها فقط حسب التعليمات.
• يجب أن تتم محاولتهم فقط إذا أمكن ضمان عدم وجود أجزاء من جسم الإنسان في منطقة الخطر.

 

حل ممكن

• قم بتثبيت أنظمة تحكم تشغيل خاصة تسمح فقط بالحركات التي يمكن التحكم فيها وإدارتها باستخدام التحكم بطرف الإصبع عبر أزرار الضغط "من نوع الإقرار". وبالتالي يتم تقليل سرعة الحركات بأمان (بشرط أن يتم تقليل الطاقة عن طريق محول عزل أو معدات مراقبة مماثلة).

 

متطلبات أنظمة التحكم في السلامة

يجب أن تكون إحدى ميزات نظام التحكم في السلامة أن وظيفة السلامة مضمونة للعمل عند ظهور أي عيوب وذلك لتوجيه العمليات من حالة خطرة إلى حالة آمنة.

أهداف السلامة

• يجب ألا يؤدي أي خلل في نظام التحكم في السلامة إلى حدوث حالة خطيرة.
• يجب تحديد عطل في نظام مراقبة السلامة (على الفور أو على فترات).

 

الحلول الممكنة

• ضع مخططًا زائدًا ومتنوعًا لأنظمة التحكم الكهروميكانيكية ، بما في ذلك دوائر الاختبار.
• ضع مجموعة متكررة ومتنوعة من أنظمة التحكم في المعالجات الدقيقة التي طورتها فرق مختلفة. يعتبر هذا النهج على أحدث طراز ، على سبيل المثال ، في حالة حواجز إضاءة الأمان.

 

وفي الختام

من الواضح أنه لا يمكن وقف الاتجاه المتزايد للحوادث في أوضاع التشغيل العادية والخاصة بدون مفهوم سلامة واضح لا لبس فيه. يجب أن تؤخذ هذه الحقيقة في الاعتبار عند إعداد لوائح وإرشادات السلامة. من الضروري وجود إرشادات جديدة في شكل أهداف السلامة للسماح بحلول متقدمة. يتيح هذا الهدف للمصممين اختيار الحل الأمثل لحالة معينة مع إظهار ميزات الأمان في أجهزتهم في نفس الوقت بطريقة بسيطة إلى حد ما من خلال وصف حل لكل هدف من أهداف السلامة. يمكن بعد ذلك مقارنة هذا الحل بالحلول الأخرى الموجودة والمقبولة ، وإذا كان أفضل أو على الأقل له نفس القيمة ، فيمكن عندئذٍ اختيار حل جديد. وبهذه الطريقة ، لا تعرقل اللوائح المنظمة بشكل ضيق التقدم.

---

الميزات الرئيسية لتوجيه ماكينات EEC

توجيه المجلس الصادر في 14 يونيو 1989 بشأن تقريب قوانين الدول الأعضاء المتعلقة بالآلات (89/392 / EEC) ينطبق على كل دولة على حدة.

• يجب على كل دولة أن تدمج التوجيه في تشريعاتها.

• صالح من 1 يناير 1993.

• يتطلب أن تلتزم جميع الشركات المصنعة بأحدث التقنيات.

• يجب على الشركة المصنعة إنتاج ملف إنشاء فني يحتوي على معلومات كاملة عن جميع الجوانب الأساسية للسلامة والرعاية الصحية.

• يجب على الشركة المصنعة إصدار إعلان المطابقة وعلامة CE للآلات.

• يعتبر عدم وضع وثائق فنية كاملة تحت تصرف مركز إشراف الدولة على أنه يمثل عدم استيفاء إرشادات الماكينة. قد يكون حظر مبيعات عموم EEC هو النتيجة.

 

أهداف السلامة لبناء واستخدام أدوات آلة CNC

1. المخارط

1.1 الوضع العادي للعملية

1.1.1 يجب حماية منطقة العمل بحيث يكون من المستحيل الوصول إلى مناطق الخطر أو الدخول إليها من الحركات التلقائية ، سواء عن قصد أو عن غير قصد.

1.1.2 يجب حماية مخزن الأدوات بحيث لا يمكن الوصول أو الدخول إلى مناطق الخطر للحركات التلقائية ، سواء عن قصد أو عن غير قصد.

1.1.3 يجب حماية مجلة الشغل بحيث يكون من المستحيل الوصول أو الدخول إلى مناطق الخطر للحركات التلقائية ، سواء عن قصد أو عن غير قصد.

1.1.4 يجب ألا تؤدي إزالة الشريحة إلى حدوث إصابة شخصية بسبب الشظايا أو الأجزاء المتحركة من الماكينة.

1.1.5 يجب منع الإصابات الشخصية الناتجة عن الوصول إلى أنظمة القيادة.

1.1.6 يجب منع إمكانية الوصول إلى مناطق الخطر الخاصة بناقلات الرقائق المتحركة.

1.1.7 يجب ألا تحدث أي إصابة شخصية للمشغلين أو الأشخاص الآخرين نتيجة تحليق قطع العمل أو أجزاء منها.

على سبيل المثال ، يمكن أن يحدث هذا

• بسبب عدم كفاية لقط

• بسبب قوة القطع غير المسموح بها

• بسبب سرعة الدوران غير المسموح بها

• بسبب الاصطدام بالأداة أو أجزاء الآلة

• بسبب كسر الشغل

• بسبب تركيبات لقط معيبة

• بسبب انقطاع التيار الكهربائي

 

1.1.8 يجب ألا تنتج أي إصابة شخصية عن تركيبات تثبيت قطعة الشغل الطائرة.

1.1.9 يجب ألا تحدث إصابات جسدية بسبب الرقائق المتطايرة.

1.1.10 يجب ألا تنتج أي إصابة جسدية عن أدوات الطيران أو أجزاء منها.

على سبيل المثال ، يمكن أن يحدث هذا

• بسبب عيوب مادية

• بسبب قوة القطع غير المسموح بها

• بسبب الاصطدام بقطعة العمل أو جزء الآلة

• بسبب عدم كفاية التثبيت أو الشد

 

1.2 طرق التشغيل الخاصة

1.2.1 تغيير الشغل.

1.2.1.1 يجب أن يتم لقط قطعة العمل بطريقة لا يمكن أن تنحصر أي أجزاء من الجسم بين تركيبات التثبيت وقطعة العمل أو بين طرف الكم المتقدم وقطعة العمل.

1.2.1.2 يجب منع بدء محرك الأقراص (المغازل ، المحاور ، الأكمام ، رؤوس الأبراج أو ناقلات الرقائق) نتيجة لأمر معيب أو أمر غير صالح.

1.2.1.3 يجب أن يكون من الممكن معالجة قطعة العمل يدويًا أو باستخدام أدوات بدون خطر.

1.2.2 تغيير أداة في حامل الأدوات أو رأس برج الأداة.

1.2.2.1 يجب منع الخطر الناتج عن السلوك المعيب للنظام أو بسبب إدخال أمر غير صالح.

1.2.3 تغيير الأدوات في مخزن الأدوات.

1.2.3.1 يجب منع الحركات في مخزن الأدوات الناتجة عن أمر معيب أو غير صالح أثناء تغيير الأداة.

1.2.3.2 يجب ألا يكون من الممكن الوصول إلى أجزاء الآلة المتحركة الأخرى من محطة تحميل الأداة.

1.2.3.3 يجب ألا يكون من الممكن الوصول إلى مناطق الخطر أثناء الحركة الإضافية لمخزن الأدوات أو أثناء البحث. في حالة إزالة الحراس في وضع التشغيل العادي ، يمكن أن تكون هذه الحركات من النوع المحدد فقط ويتم إجراؤها فقط خلال الفترة الزمنية المطلوبة وفقط عندما يمكن التأكد من عدم وجود أجزاء من الجسم في مناطق الخطر هذه .

1.2.4 فحص القياس.

1.2.4.1 يجب أن يكون الوصول إلى منطقة العمل ممكنًا فقط بعد توقف جميع الحركات.

1.2.4.2 يجب منع بدء تشغيل محرك الأقراص الناتج عن أمر معيب أو إدخال أمر غير صالح.

1.2.5 الإعداد.

1.2.5.1 إذا تم تنفيذ الحركات أثناء الإعداد مع إزالة الحراس لنمط التشغيل العادي ، فيجب حماية المشغل بوسائل أخرى.

1.2.5.2 يجب عدم الشروع في تحركات أو تغييرات خطيرة في الحركات نتيجة لأمر معيب أو إدخال أمر غير صالح.

1.2.6 البرمجة.

1.2.6.1 لا يجوز بدء أي تحركات أثناء البرمجة التي تعرض الشخص للخطر في منطقة العمل.

1.2.7 خطأ في الإنتاج.

1.2.7.1 يجب منع بدء محرك الأقراص الناتج عن أمر معيب على نقطة ضبط إدخال أمر غير صالح.

1.2.7.2 لا يتم الشروع في حركات أو مواقف خطيرة من خلال تحريك أو إزالة قطعة العمل أو النفايات.

1.2.7.3 حيث يجب أن تتم الحركات مع الحراس لإزالة طريقة التشغيل العادية ، قد تكون هذه الحركات فقط من النوع المحدد ويتم تنفيذها فقط للفترة الزمنية المطلوبة وفقط عندما يكون من الممكن ضمان عدم وجود أجزاء من الجسم في مناطق الخطر هذه.

1.2.8 استكشاف الأخطاء وإصلاحها.

1.2.8.1 يجب منع الوصول إلى مناطق الخطر من الحركات التلقائية.

1.2.8.2 يجب منع بدء محرك الأقراص نتيجة لأمر معيب أو إدخال أمر غير صالح.

1.2.8.3 يجب منع حركة الآلة عند التلاعب بالجزء المعيب.

1.2.8.4 يجب منع الإصابة الشخصية الناتجة عن انقسام أو سقوط جزء من الآلة.

1.2.8.5 إذا كان يتعين ، أثناء استكشاف الأخطاء وإصلاحها ، أن تتم الحركات مع الحراس لإزالة وضع التشغيل العادي ، فقد تكون هذه الحركات فقط من النوع المحدد ويتم تنفيذها فقط للفترة الزمنية المطلوبة وفقط عندما يمكن ضمان ذلك لا توجد أجزاء من الجسم في مناطق الخطر هذه.

1.2.9 عطل الآلة وإصلاحها.

1.2.9.1 يجب منع الجهاز من بدء التشغيل.

1.2.9.2 يجب أن يكون التلاعب بالأجزاء المختلفة للآلة ممكنًا إما يدويًا أو باستخدام أدوات دون أي خطر.

1.2.9.3 يجب ألا يكون من الممكن لمس الأجزاء الحية من الجهاز.

1.2.9.4 يجب ألا تنجم الإصابة الشخصية عن مشكلة الوسائط السائلة أو الغازية.

 

2. آلات الطحن

2.1 الوضع العادي للعملية

2.1.1 يجب حماية منطقة العمل بحيث يكون من المستحيل الوصول إلى مناطق الخطر أو الدخول إليها من الحركات التلقائية ، سواء عن قصد أو عن غير قصد.

2.1.2 يجب ألا تؤدي إزالة الشريحة إلى حدوث إصابة شخصية بسبب الشظايا أو الأجزاء المتحركة من الماكينة.

2.1.3 يجب منع الإصابات الشخصية الناتجة عن الوصول إلى أنظمة القيادة.

لا يجوز أن تحدث أي إصابة شخصية للمشغلين أو الأشخاص الآخرين نتيجة تحليق قطع العمل أو أجزاء منها.

على سبيل المثال ، يمكن أن يحدث هذا

• بسبب عدم كفاية لقط

• بسبب قوة القطع غير المسموح بها

• بسبب الاصطدام بالأداة أو أجزاء الآلة

• بسبب كسر الشغل

• بسبب تركيبات لقط معيبة

• بسبب انقطاع التيار الكهربائي

 

2.1.4 يجب ألا تنتج أي إصابة جسدية عن تركيبات تثبيت قطع الشغل الطائرة.

2.1.5 يجب ألا تحدث إصابات جسدية بسبب الرقائق المتطايرة.

2.1.6 يجب ألا تنتج أي إصابة جسدية عن أدوات الطيران أو أجزاء منها.

على سبيل المثال ، يمكن أن يحدث هذا

• بسبب عيوب مادية

• بسبب سرعة الدوران غير المسموح بها

• بسبب قوة القطع غير المسموح بها

• بسبب الاصطدام بقطعة الشغل أو جزء الآلة

• بسبب عدم كفاية التثبيت أو الشد

• بسبب انقطاع التيار الكهربائي

 

أوضاع التشغيل الخاصة

2.2.1 تغيير الشغل.

2.2.1.1 عند استخدام تركيبات التثبيت التي تعمل بالطاقة ، يجب ألا تكون أجزاء من الجسم محاصرة بين أجزاء إغلاق أداة التثبيت وقطعة العمل.

2.2.1.2 يجب منع بدء محرك الأقراص (محور الدوران ، المحور) الناتج عن أمر معيب أو إدخال أمر غير صالح.

2.2.1.3 يجب أن يكون التلاعب بقطعة العمل ممكنًا يدويًا أو باستخدام أدوات دون أي خطر.

2.2.2 أداة التغيير.

2.2.2.1 يجب منع بدء تشغيل محرك الأقراص الناتج عن أمر معيب أو إدخال أمر غير صالح.

2.2.2.2 يجب ألا يكون من الممكن أن تعلق الأصابع عند وضع الأدوات.

2.2.3 فحص القياس.

2.2.3.1 يجب أن يكون الوصول إلى منطقة العمل ممكنًا فقط بعد توقف جميع الحركات.

2.2.3.2 يجب منع بدء تشغيل محرك الأقراص الناتج عن أمر معيب أو إدخال أمر غير صالح.

2.2.4 الإعداد.

2.2.4.1 إذا تم تنفيذ الحركات أثناء الإعداد مع إزالة حراس طريقة التشغيل العادية ، فيجب حماية المشغل بوسائل أخرى.

2.2.4.2 يجب عدم الشروع في تحركات أو تغييرات خطيرة في الحركات نتيجة لأمر معيب أو إدخال أمر غير صالح.

2.2.5 البرمجة.

2.2.5.1 يجب عدم الشروع في أي تحركات أثناء البرمجة التي تعرض الشخص للخطر في منطقة العمل.

2.2.6 خطأ في الإنتاج.

2.2.6.1 يجب منع بدء تشغيل محرك الأقراص الناتج عن أمر معيب أو إدخال أمر غير صالح.

2.2.6.2 يجب عدم الشروع في حركات أو مواقف خطيرة من خلال تحريك أو إزالة قطعة العمل أو النفايات.

2.2.6.3 حيث يجب أن تتم الحركات مع الحراس لإزالة طريقة التشغيل العادية ، قد تكون هذه الحركات فقط من النوع المحدد ويتم تنفيذها فقط للفترة الزمنية المطلوبة وفقط عندما يكون من الممكن ضمان عدم وجود أجزاء من الجسم في مناطق الخطر هذه.

2.2.7 استكشاف الأخطاء وإصلاحها.

2.2.7.1 يجب منع الوصول إلى مناطق الخطر من الحركات التلقائية.

2.2.7.2 يجب منع بدء محرك الأقراص نتيجة لأمر معيب أو إدخال أمر غير صالح.

2.2.7.3 يجب منع أي حركة للآلة عند التلاعب بالجزء المعيب.

2.2.7.4 يجب منع الإصابة الشخصية الناتجة عن انقسام أو سقوط جزء من الآلة.

2.2.7.5 إذا كان يتعين ، أثناء استكشاف الأخطاء وإصلاحها ، أن تتم الحركات مع الحراس لإزالة وضع التشغيل العادي ، فقد تكون هذه الحركات فقط من النوع المحدد ويتم تنفيذها فقط للفترة الزمنية المطلوبة وفقط عندما يمكن ضمان ذلك لا توجد أجزاء من الجسم في مناطق الخطر هذه.

2.2.8 عطل الآلة وإصلاحها.

2.2.8.1 يجب منع بدء تشغيل الجهاز.

2.2.8.2 يجب أن يكون التلاعب بالأجزاء المختلفة للآلة ممكنًا يدويًا أو باستخدام أدوات دون أي خطر.

2.2.8.3 يجب ألا يكون من الممكن لمس الأجزاء الحية من الجهاز.

2.2.8.4 يجب ألا تنجم الإصابة الشخصية عن مشكلة الوسائط السائلة أو الغازية.

 

3. مراكز التصنيع

3.1 الوضع العادي للعملية

3.1.1 يجب حماية منطقة العمل بحيث يتعذر الوصول أو الدخول إلى مناطق الخطر للحركات التلقائية ، سواء عن قصد أو عن غير قصد.

3.1.2 يجب حماية مخزن الأدوات بحيث لا يمكن الوصول أو الدخول إلى مناطق الخطر للحركات التلقائية.

3.1.3 يجب حماية مجلة الشغل بحيث يكون من المستحيل الوصول أو الدخول إلى مناطق الخطر للحركات الأوتوماتيكية.

3.1.4 يجب ألا تؤدي إزالة الشريحة إلى حدوث إصابة شخصية بسبب الشظايا أو الأجزاء المتحركة من الماكينة.

3.1.5 يجب منع الإصابات الشخصية الناتجة عن الوصول إلى أنظمة القيادة.

3.1.6 يجب منع إمكانية الوصول إلى مناطق الخطر الخاصة بالناقلات ذات الرقائق المتحركة (الناقلات اللولبية ، إلخ).

3.1.7 يجب ألا تحدث أي إصابة شخصية للمشغلين أو الأشخاص الآخرين نتيجة تحليق قطع العمل أو أجزاء منها.

على سبيل المثال ، يمكن أن يحدث هذا

• بسبب عدم كفاية لقط

• بسبب قوة القطع غير المسموح بها

• بسبب الاصطدام بالأداة أو أجزاء الآلة

• بسبب كسر الشغل

• بسبب تركيبات لقط معيبة

• بسبب التغيير إلى قطعة العمل الخاطئة

• بسبب انقطاع التيار الكهربائي

 

3.1.8 يجب ألا تنتج أي إصابة جسدية عن تركيبات تثبيت قطع الشغل الطائرة.

3.1.9 يجب ألا تحدث إصابات جسدية بسبب الرقائق المتطايرة.

3.1.10 يجب ألا تنتج أي إصابة جسدية عن أدوات الطيران أو أجزاء منها.

على سبيل المثال ، يمكن أن يحدث هذا

• بسبب عيوب مادية

• بسبب سرعة الدوران غير المسموح بها

• بسبب قوة القطع غير المسموح بها

• بسبب الاصطدام بقطعة الشغل أو جزء الآلة

• بسبب عدم كفاية التثبيت أو الشد

• بسبب الأداة التي تطير من مبدل الأدوات

• بسبب اختيار الأداة الخاطئة

• بسبب انقطاع التيار الكهربائي

 

3.2 طرق التشغيل الخاصة

3.2.1 تغيير الشغل.

3.2.1.1 عند استخدام تركيبات التثبيت التي تعمل بالطاقة ، يجب ألا تكون أجزاء من الجسم محاصرة بين أجزاء إغلاق أداة التثبيت وقطعة العمل.

3.2.1.2 يجب منع بدء تشغيل محرك الأقراص الناتج عن أمر معيب أو إدخال أمر غير صالح.

3.2.1.3 يجب أن يكون من الممكن معالجة قطعة العمل يدويًا أو باستخدام أدوات دون أي خطر.

3.2.1.4 عندما يتم تغيير قطع العمل في محطة تثبيت ، يجب ألا يكون من الممكن من هذا الموقع الوصول أو الدخول إلى تسلسلات الحركة الأوتوماتيكية للآلة أو مجلة الشغل. يجب عدم بدء أي حركات بواسطة عنصر التحكم أثناء وجود الشخص في منطقة التثبيت. يتم الإدخال التلقائي لقطعة العمل المثبتة في الماكينة أو مجلة قطعة العمل فقط عندما تكون محطة التثبيت محمية أيضًا بنظام حماية يتوافق مع نظام التشغيل العادي.

3.2.2 تغيير الأداة في المغزل.

3.2.2.1 يجب منع بدء تشغيل محرك الأقراص الناتج عن أمر معيب أو إدخال أمر غير صالح.

3.2.2.2 يجب ألا يكون من الممكن أن تعلق الأصابع عند وضع الأدوات.

3.2.3 تغيير الأدوات في مخزن الأدوات.

3.2.3.1 يجب منع الحركات في مخزن الأدوات الناتجة عن أوامر معيبة أو إدخال أمر غير صالح أثناء تغيير الأداة.

3.2.3.2 يجب ألا يكون من الممكن الوصول إلى أجزاء الآلة المتحركة الأخرى من محطة تحميل الأداة.

3.2.3.3 يجب ألا يكون من الممكن الوصول إلى مناطق الخطر أثناء الحركة الإضافية لمخزن الأدوات أو أثناء البحث. إذا كانت تتم مع الحراس لإزالة الوضع العادي للعملية ، فقد تكون هذه الحركات فقط من النوع المحدد ويتم تنفيذها فقط للفترة الزمنية المطلوبة وفقط عندما يمكن التأكد من عدم وجود أجزاء من الجسم في مناطق الخطر هذه .

3.2.4 فحص القياس.

3.2.4.1 يجب أن يكون الوصول إلى منطقة العمل ممكنًا فقط بعد توقف جميع الحركات.

3.2.4.2 يجب منع بدء تشغيل محرك الأقراص الناتج عن أمر معيب أو إدخال أمر غير صالح.

3.2.5 الإعداد.

3.2.5.1 إذا تم تنفيذ الحركات أثناء الإعداد مع إزالة الحراس لنمط التشغيل العادي ، فيجب حماية المشغل بوسائل أخرى.

3.2.5.2 لا يجب الشروع في تحركات أو تغييرات خطيرة في الحركة نتيجة لأمر معيب أو إدخال أمر غير صالح.

3.2.6 البرمجة.

3.2.6.1 يجب عدم الشروع في أي تحركات أثناء البرمجة التي تعرض الشخص للخطر في منطقة العمل.

3.2.7 خطأ في الإنتاج.

3.2.7.1 يجب منع بدء تشغيل محرك الأقراص الناتج عن أمر معيب أو إدخال أمر غير صالح.

3.2.7.2 يجب عدم الشروع في حركات أو مواقف خطيرة من خلال تحريك أو إزالة قطعة العمل أو النفايات.

3.2.7.3 حيث يجب أن تتم الحركات مع الحراس لإزالة طريقة التشغيل العادية ، قد تكون هذه الحركات فقط من النوع المحدد ويتم تنفيذها فقط للفترة الزمنية المطلوبة وفقط عندما يكون من الممكن ضمان عدم وجود أجزاء من الجسم في مناطق الخطر هذه.

3.2.8 استكشاف الأخطاء وإصلاحها.

3.2.8.1 يجب منع الوصول إلى مناطق الخطر من الحركات التلقائية.

3.2.8.2 يجب منع بدء محرك الأقراص نتيجة لأمر معيب أو إدخال أمر غير صالح.

3.2.8.3 يجب منع أي حركة للآلة عند التلاعب بالجزء المعيب.

3.2.8.4 يجب منع الإصابة الشخصية الناتجة عن انقسام أو سقوط جزء من الآلة.

3.2.8.5 إذا كان يتعين ، أثناء استكشاف الأخطاء وإصلاحها ، أن تتم الحركات مع الحراس لإزالة وضع التشغيل العادي ، فقد تكون هذه الحركات فقط من النوع المحدد ويتم تنفيذها فقط للفترة الزمنية المطلوبة وفقط عندما يمكن ضمان ذلك لا توجد أجزاء من الجسم في مناطق الخطر هذه.

3.2.9 عطل الآلة وإصلاحها.

3.2.9.1 يجب منع بدء تشغيل الجهاز.

3.2.9.2 يجب أن يكون التلاعب بالأجزاء المختلفة للآلة ممكنًا يدويًا أو باستخدام أدوات دون أي خطر.

3.2.9.3 يجب ألا يكون من الممكن لمس الأجزاء الحية من الجهاز.

3.2.9.4 يجب ألا تنجم الإصابة الشخصية عن مشكلة الوسائط السائلة أو الغازية.

 

4. آلات الطحن

4.1 الوضع العادي للعملية

4.1.1 يجب حماية منطقة العمل بحيث يكون من المستحيل الوصول إلى مناطق الخطر أو الدخول إليها من الحركات التلقائية ، سواء عن قصد أو عن غير قصد.

4.1.2 يجب منع الإصابات الشخصية الناتجة عن الوصول إلى أنظمة القيادة.

4.1.3 يجب ألا تحدث أي إصابة شخصية للمشغلين أو الأشخاص الآخرين نتيجة تحليق قطع العمل أو أجزاء منها.

على سبيل المثال ، يمكن أن يحدث هذا

• بسبب عدم كفاية لقط

• بسبب قوة القطع غير المسموح بها

• بسبب سرعة الدوران غير المسموح بها

• بسبب الاصطدام بالأداة أو أجزاء الآلة

• بسبب كسر الشغل

• بسبب تركيبات لقط معيبة

• بسبب انقطاع التيار الكهربائي

 

4.1.4 يجب ألا تنتج أي إصابة جسدية عن تركيبات تثبيت قطع الشغل الطائرة.

4.1.5 لا يجب أن تنجم أية إصابات شخصية أو حرائق عن شرارة.

4.1.6 لا يجب أن تنتج أي إصابة شخصية عن أجزاء متطايرة من عجلات الطحن.

على سبيل المثال ، يمكن أن يحدث هذا

• بسبب سرعة الدوران غير المسموح بها

• بسبب قوة القطع غير المسموح بها

• بسبب عيوب مادية

• بسبب الاصطدام بقطعة الشغل أو جزء الآلة

• بسبب عدم كفاية لقط (الشفاه)

• بسبب استخدام عجلة طحن غير صحيحة

 

أوضاع التشغيل الخاصة

4.2.1 تغيير الشغل.

4.2.1.1 عند استخدام تركيبات التثبيت التي تعمل بالطاقة ، يجب ألا تكون أجزاء من الجسم محاصرة بين أجزاء إغلاق أداة التثبيت وقطعة العمل.

4.2.1.2 يجب منع بدء تشغيل محرك التغذية الناتج عن أمر معيب أو إدخال أمر غير صالح.

4.2.1.3 يجب منع الإصابة الشخصية الناجمة عن دوران عجلة الطحن عند التلاعب بقطعة العمل.

4.2.1.4 يجب ألا تكون الإصابة الشخصية الناتجة عن انفجار عجلة الطحن ممكنة.

4.2.1.5 يجب أن يكون التلاعب بقطعة العمل ممكنًا يدويًا أو باستخدام أدوات دون أي خطر.

4.2.2 تغيير الأدوات (تغيير عجلة الطحن)

4.2.2.1 يجب منع بدء تشغيل محرك التغذية الناتج عن أمر معيب أو إدخال أمر غير صالح.

4.2.2.2 يجب ألا تكون الإصابة الشخصية الناتجة عن دوران عجلة الطحن ممكنة أثناء إجراءات القياس.

4.2.2.3 يجب ألا تكون الإصابة الشخصية الناتجة عن انفجار عجلة الطحن ممكنة.

4.2.3 فحص القياس.

4.2.3.1 يجب منع بدء تشغيل محرك التغذية الناتج عن أمر معيب أو إدخال أمر غير صالح.

4.2.3.2 يجب ألا تكون الإصابة الشخصية الناتجة عن دوران عجلة الطحن ممكنة أثناء إجراءات القياس.

4.2.3.3 يجب ألا تكون الإصابة الشخصية الناتجة عن انفجار عجلة الطحن ممكنة.

4.2.4. يثبت.

4.2.4.1 إذا تم تنفيذ الحركات أثناء الإعداد مع إزالة الحراس لنمط التشغيل العادي ، فيجب حماية المشغل بوسائل أخرى.

4.2.4.2 لا يجب الشروع في تحركات أو تغييرات خطيرة في الحركة نتيجة لأمر معيب أو إدخال أمر غير صالح.

4.2.5 البرمجة.

4.2.5.1 يجب عدم الشروع في أي تحركات أثناء البرمجة التي تعرض الشخص للخطر في منطقة العمل.

4.2.6 خطأ في الإنتاج.

4.2.6.1 يجب منع بدء تشغيل محرك التغذية الناتج عن أمر معيب أو إدخال أمر غير صالح.

4.2.6.2 يجب عدم الشروع في حركات أو مواقف خطيرة من خلال تحريك أو إزالة قطعة العمل أو النفايات.

4.2.6.3 حيث يجب أن تتم الحركات مع الحراس لإزالة طريقة التشغيل العادية ، قد تكون هذه الحركات فقط من النوع المحدد ويتم تنفيذها فقط للفترة الزمنية المطلوبة وفقط عندما يكون من الممكن ضمان عدم وجود أجزاء من الجسم في مناطق الخطر هذه.

4.2.6.4 يجب منع الإصابات الشخصية التي تسببها عجلة الطحن الدوارة.

4.2.6.5 يجب ألا تكون الإصابة الشخصية الناتجة عن انفجار عجلة الطحن ممكنة.

4.2.7 استكشاف الأخطاء وإصلاحها.

4.2.7.1 يجب منع الوصول إلى مناطق الخطر من الحركات التلقائية.

4.2.7.2 يجب منع بدء محرك الأقراص نتيجة لأمر معيب أو إدخال أمر غير صالح.

4.2.7.3 يجب منع أي حركة للآلة عند التلاعب بالجزء المعيب.

4.2.7.4 يجب منع الإصابة الشخصية الناتجة عن انقسام أو سقوط جزء من الآلة.

4.2.7.5 يجب منع الإصابة الشخصية التي تسببت في ملامسة المشغل أو انفجار عجلة الطحن الدوارة.

4.2.7.6 إذا كان يتعين ، أثناء استكشاف الأخطاء وإصلاحها ، أن تتم الحركات مع الحراس لإزالة وضع التشغيل العادي ، فقد تكون هذه الحركات فقط من النوع المحدد ويتم تنفيذها فقط للفترة الزمنية المطلوبة وفقط عندما يمكن ضمان ذلك لا توجد أجزاء من الجسم في مناطق الخطر هذه.

4.2.8 عطل الآلة وإصلاحها.

4.2.8.1 يجب منع بدء تشغيل الجهاز.

4.2.8.2 يجب أن يكون التلاعب بالأجزاء المختلفة للآلة ممكنًا يدويًا أو باستخدام أدوات دون أي خطر.

4.2.8.3 يجب ألا يكون من الممكن لمس الأجزاء الحية من الجهاز.

4.2.8.4 يجب ألا تنجم الإصابة الشخصية عن مشكلة الوسائط السائلة أو الغازية.

 

الرجوع