Reinert、ディートマー AJ

Reinert、ディートマー AJ

住所: Berufsgenossenschaftliches Institut für Arbeitssicherheit, Alte Heersstrsse 111, 53754 Sankt Augustin

国: ドイツ

電話番号: 49 2241 231 645

FAX: 49 2241 231 234

Eメール: 100565.2233@compuserve.com

教育: 1984 年、ボン大学で学士号を取得。 Dr rer nat、1987年、ボン大学

関心のある分野: 安全関連アプリケーションにおけるプログラマブル電子システム。 安全なソフトウェア; センサー駆動の保護装置

 

月曜日、4月04 2011 18:00

安全関連のアプリケーション

ここ数年、安全技術の分野でマイクロプロセッサが果たす役割はますます大きくなっています。 コンピュータ全体 (すなわち、中央処理装置、メモリ、および周辺コンポーネント) が「シングルチップ コンピュータ」として単一のコンポーネントで利用できるようになったため、マイクロプロセッサ技術は、複雑な機械制御だけでなく、比較的単純な設計の保護にも採用されています。 (例えば、ライト グリッド、両手制御装置、セーフティ エッジ)。 これらのシステムを制御するソフトウェアは、XNUMX から数万の単一コマンドで構成され、通常は数百のプログラム分岐で構成されています。 プログラムはリアルタイムで動作し、ほとんどがプログラマーのアセンブリ言語で書かれています。

安全技術の分野でのコンピュータ制御システムの導入は、高価な研究開発プロジェクトだけでなく、安全性を高めるために設計された重大な制限によって、すべての大規模な技術機器に付随しています。 (ここでは、航空宇宙技術、軍事技術、原子力技術が大規模な応用例として挙げられます。)工業的大量生産の集合的な分野は、これまで非常に限られた方法でしか扱われてきませんでした。 これは、産業用機械設計の特徴であるイノベーションの急速なサイクルが、大規模な機械の最終試験に関する研究プロジェクトから得られるような知識を、非常に制限された方法を除いて引き継ぐことを困難にするという理由の一部です。安全装置。 これにより、迅速で低コストの評価手順の開発が必要になります (Reinert and Reuss 1991)。

この記事では、最初にコンピュータ システムが現在安全タスクを実行している機械と施設を調べ、安全技術においてコンピュータが果たす特定の役割を説明するために、機械の安全装置の分野で主に発生している事故の例を使用します。 これらの事故は、現在ますます普及しているコンピュータ制御の安全装置が事故の増加につながらないようにするために、どのような予防策を講じなければならないかについての示唆を与えてくれます。 この記事の最後のセクションでは、正当な費用と許容期間内で、小規模なコンピューター システムでも適切なレベルの技術的安全性を実現できるようにする手順を概説しています。 この最後の部分で示されている原則は、現在国際標準化手順に導入されており、コンピュータが適用される安全技術のすべての分野に影響を与えます。

機械保護分野におけるソフトウェアとコンピュータの使用例

次の XNUMX つの例は、現在、ソフトウェアとコンピュータが商用ドメインの安全関連アプリケーションにますます参入していることを明らかにしています。

個人用緊急信号設備は、原則として、中央受信ステーションと多数の個人用緊急信号装置で構成されています。 デバイスは、現場で作業する人が自分で運びます。 一人で作業している人が緊急事態に陥った場合、この装置を使用して、中央受信ステーションの無線信号でアラームを作動させることができます。 このような意志に依存するアラームトリガーは、個人用緊急装置に組み込まれたセンサーによって起動される意志に依存しないトリガー機構によっても補うことができる。 個々のデバイスと中央受信ステーションの両方がマイクロコンピュータによって制御されることがよくあります。 ビルトインコンピュータの特定の単一機能の故障が、緊急事態において、アラームの作動の失敗につながる可能性があると考えられます。 したがって、このような機能の喪失を時間内に認識して修復するために、予防措置を講じる必要があります。

現在、雑誌の印刷に使用されている印刷機は大型の機械です。 ペーパーウェブは通常、新しいペーパーロールにシームレスに移行できるように、別の機械で準備されます。 印刷されたページは折り機で折り畳まれ、その後一連の機械で処理されます。 これにより、完全に縫製されたマガジンがパレットに積み込まれます。 このようなプラントは自動化されていますが、手作業による介入が必要なポイントが 1 つあります。(2) 用紙経路の糸通し、および (XNUMX) 回転ローラーの危険な場所での用紙の破れによる障害物の除去です。 このため、プレスの調整中は、制御技術によって動作速度を下げるか、経路または時間制限のあるジョギング モードを確保する必要があります。 関連する複雑な操作手順のために、すべての印刷ステーションに独自のプログラマブル ロジック コントローラを装備する必要があります。 ガード グリッドが開いている間に印刷工場の制御で発生した障害は、停止したマシンの予期しない起動や、適切に減速された速度を超える動作につながることを防止する必要があります。

大規模な工場や倉庫では、無人自動誘導ロボット車両が特別にマークされた軌道上を動き回っています。 これらの線路は、他の交通路から構造的に分離されていないため、人がいつでも歩くことができます。また、材料や機器が不注意に線路に残される可能性があります。 このため、何らかの衝突防止装置を使用して、人や物体との危険な衝突が発生する前に車両を停止させる必要があります。 最近のアプリケーションでは、衝突防止は、安全バンパーと組み合わせて使用​​される超音波またはレーザー光スキャナーによって行われます。 これらのシステムはコンピューター制御下で動作するため、人がいる特定の検出ゾーンに応じて車両の反応を変更できるように、複数の永続的な検出ゾーンを構成することができます。 防護装置の故障が、人との危険な衝突につながることがあってはなりません。

断裁制御装置ギロチンは、厚い紙束をプレスして断裁するために使用されます。 それらは両手制御装置によって引き起こされます。 ユーザーは、切断が行われるたびに機械の危険ゾーンに手を伸ばさなければなりません。 通常はライト グリッドなどの重要でない安全装置が、両手制御装置と安全な機械制御システムの両方と組み合わせて使用​​され、切断操作中に用紙が送られる際の怪我を防ぎます。 現在使用されている大型で最新のギロチンのほぼすべてが、マルチチャンネル マイクロコンピュータ システムによって制御されています。 両手操作とライトグリッドの両方が安全に機能することも保証されなければなりません。

コンピュータ制御システムによる事故

産業応用のほぼすべての分野で、ソフトウェアとコンピューターの事故が報告されています (Neumann 1994)。 ほとんどの場合、コンピュータの障害が人身事故につながることはありません。 そのような失敗は、いずれにせよ、一般大衆の関心がある場合にのみ公開されます。 これは、コンピュータやソフトウェアに関連する誤動作や事故の事例が、公表されたすべての事例の中で、人身傷害を伴う割合が比較的高いことを意味します。 残念なことに、大衆のセンセーションをあまり引き起こさない事故は、典型的には大規模なプラントでのより顕著な事故とまったく同じ強度で、その原因について調査されていません。 このため、以下の例では、安全技術に関する判断を下す際に考慮すべき事項を示唆するために使用される、機械保護の分野以外のコンピュータ制御システムに典型的な故障または事故の XNUMX つの説明を参照しています。

ハードウェアの偶発的な故障による事故

次の事故は、プログラミングの失敗と組み合わされたハードウェアの偶発的な故障の集中によって引き起こされました。 この事故は、ギアボックスのオイル レベルが低すぎるという警告が出された直後に発生しました。 事故を慎重に調査したところ、触媒が反応器内で反応を開始した直後に (その結果、反応器をさらに冷却する必要があったはずです)、ギアボックス内のオイルレベルが低いという報告に基づいて、コンピューターがすべてをフリーズさせたことがわかりました。固定値でその制御下にあるマグニチュード。 これにより、冷水の流れが低すぎるレベルに保たれ、その結果、原子炉が過熱しました。 さらなる調査により、オイルレベルが低いという兆候は、故障したコンポーネントによって通知されたことが示されました。

ソフトウェアは、仕様に従って、アラームを作動させ、すべての操作変数を修正しました。 これは、イベント前に行われた HAZOP (ハザードおよび操作性分析) 研究 (Knowlton 1986) の結果であり、障害が発生した場合にすべての制御変数を変更しないことを要求していました。 プログラマーは手順の詳細を知らなかったので、この要件は、制御されるアクチュエーター (この場合は制御バルブ) を変更してはならないことを意味すると解釈されました。 温度上昇の可能性には注意が払われていませんでした。 プログラマーは、誤った信号を受信した後、システムが事故を防ぐためにコンピューターの積極的な介入を必要とするタイプの動的な状況に陥る可能性があることを考慮していませんでした。 さらに、事故につながった状況は非常にありそうもないので、HAZOP 研究 (Levenson 1986) では詳細に分析されていませんでした。 この例は、ソフトウェアとコンピューターの事故の原因の XNUMX 番目のカテゴリへの移行を示しています。 これらは、最初からシステムに存在する体系的な障害ですが、開発者が考慮していない特定の非常に特殊な状況でのみ現れます。

操作ミスによる事故

ロボットの最終検査中のフィールドテストで、ある技術者が隣のロボットのカセットを借りて、同僚に知らせずに別のロボットに置き換えました。 職場に戻ると、同僚は間違ったカセットを挿入しました。 彼はロボットの隣に立って、そこから特定の一連の動作を期待していたので — 交換されたプログラムのために異なる結果になったシーケンス — ロボットと人間の間で衝突が発生しました。 この事故は、操作上の失敗の古典的な例を示しています。 コンピュータ制御の安全メカニズムの適用がますます複雑になっているため、誤動作や事故におけるこのような故障の役割は現在増加しています。

ハードウェアまたはソフトウェアのシステム障害による事故

弾頭を備えた魚雷は、公海上の軍艦から訓練目的で発射されることになっていました。 駆動装置の欠陥により、魚雷は魚雷発射管に残っていました。 船長は、魚雷を引き揚げるために母港に戻ることにしました。 船が帰路につき始めた直後、魚雷が爆発した。 事故の分析により、魚雷の開発者は、発射された後に発射台に戻り、それを発射した船を破壊するのを防ぐように設計されたメカニズムを魚雷に組み込むことを余儀なくされたことが明らかになりました. このために選択されたメカニズムは次のとおりです。魚雷の発射後、慣性航法システムを使用して、魚雷の進路が 180° 変更されたかどうかを確認しました。 魚雷が 180 度回転したことを感知するとすぐに、魚雷は発射台から安全な距離にあると思われる場所で直ちに爆発しました。 この検出メカニズムは、魚雷が適切に発射されなかった場合に作動し、その結果、船が針路を 180° 変更した後に魚雷が爆発しました。 仕様ミスによる事故の典型例です。 魚雷が進路を変更した場合に自身の船を破壊してはならないという仕様の要件は、十分に正確に定式化されていませんでした。 したがって、予防策は誤ってプログラムされました。 エラーは、プログラマが可能性として考慮していなかった特定の状況でのみ明らかになりました。

14 年 1993 月 320 日、ルフトハンザのエアバス A 1 がワルシャワに着陸中に墜落しました (図 767)。 事故を注意深く調査した結果、1991 年のラウダ航空ボーイング 1991 の事故後に行われた搭載コンピューターの着陸ロジックの変更が、この不時着の原因の一部であることがわかりました。 XNUMX 年の事故で起こったのは、着陸時に飛行機にブレーキをかけるためにモーター ガスの一部をそらす推力偏向が、まだ空中にある間に作動し、機体を制御不能な急降下に追い込んだことでした。 このため、推力偏向の電子ロックがエアバス機に組み込まれていました。 このメカニズムにより、着陸装置の両方のセットにあるセンサーが、接地した車輪の圧力でショック アブソーバーが圧縮されたことを通知した後にのみ、推力偏向が有効になります。 誤った情報に基づいて、ワルシャワの飛行機のパイロットは強い横風を予想していました。

図 1. 1993 年のワルシャワでの事故後のルフトハンザ エアバス

ACC260F2

このため、彼らはマシンをわずかに傾けて持ち込み、エアバスは右の車輪だけで着陸し、左のベアリングは全重量よりも軽くなりました. 推力偏向の電子ロックのために、機内のコンピューターは、不利な状況にもかかわらず飛行機が安全に着陸することを可能にするような操縦をXNUMX秒間パイロットに拒否しました. この事故は、コンピュータ システムの変更が、起こりうる結果の範囲を事前に考慮しないと、新たな危険な状況につながる可能性があることを非常に明確に示しています。

 

次の誤動作の例は、1.2 つのコマンドを変更するだけでコンピュータ システムに壊滅的な影響を与える可能性があることも示しています。 血液中のアルコール度数は、事前に血球を遠心分離した透明な血清を用いて化学的検査で測定します。 したがって、血清のアルコール含有量は、濃厚な全血のアルコール含有量よりも高くなります (1.2 倍)。 このため、法的および医学的に重要な 1984 分の 1.2 の数値を確立するには、血清中のアルコール値を 1.2 で割る必要があります。 1,500年に実施された共同試験では、血清を用いて異なる研究機関で実施された同一の試験で得られた血中アルコール値を相互に比較することになっていました。 それは単に比較の問題だったので、1984 で割るコマンドは、実験期間中の機関の 1985 つのプログラムから削除されました。 ラボ間テストが終了した後、この場所で誤って 1.0 を掛けるコマンドがプログラムに導入されました。 その結果、1.3 年 1.3 月から XNUMX 年 XNUMX 月までの間におよそ XNUMX 個の誤った XNUMX 分の XNUMX の値が計算されました。 この誤りは、血中アルコール濃度が XNUMX ~ XNUMX パー XNUMX のトラック運転手のプロとしてのキャリアにとって重大でした。運転免許証の長期間の没収を伴う法的な罰則は、XNUMX 分の XNUMX の値の結果であるからです。

運転ストレスや環境ストレスの影響による事故

CNC (コンピュータ数値制御) パンチングおよびニブリング マシンの有効領域での廃棄物の収集によって引き起こされた障害の結果として、ユーザーは「プログラムされた停止」を実施しました。 手でごみを取り除こうとしたところ、プログラムされた停止にもかかわらず、機械のプッシュロッドが動き出し、使用者が重傷を負った。 事故の分析により、それはプログラムのエラーの問題ではないことが明らかになりました。 予期しない起動が再現できませんでした。 同様の不規則性は、過去に同じタイプの他のマシンで観察されていました。 これらのことから、事故が電磁干渉によって引き起こされたに違いないと推測するのはもっともらしく思われる. 産業用ロボットによる同様の事故が日本から報告されている (Neumann 1987)。

2 年 18 月 1986 日のボイジャー 2 宇宙探査機の誤動作は、コンピューター制御システムに対する環境ストレスの影響をさらに明確にします。 天王星への最接近の 1987 日前に、ボイジャー XNUMX 号からの写真が白黒の線で覆われていました。正確な分析により、飛行データ サブシステムのコマンド ワードの XNUMX ビットが失敗の原因であることがわかりました。写真はプローブ内で圧縮されています。 このビットは、宇宙粒子の衝突によってプログラム メモリ内でノックアウトされた可能性が最も高いです。 プローブからの圧縮された写真のエラーのない送信は、失敗したメモリ ポイントをバイパスできる代替プログラムを使用して、わずか XNUMX 日後に実行されました (Laeser、McLaughlin、および Wolff XNUMX)。

提示された事故の概要

分析された事故は、単純な電気機械技術を使用する条件下では無視されるかもしれない特定のリスクが、コンピューターが使用されると重要になることを示しています。 コンピュータは、複雑で状況に応じた安全機能の処理を可能にします。 このため、すべての安全機能の明確でエラーのない、完全でテスト可能な仕様が特に重要になります。 仕様のエラーは発見が難しく、複雑なシステムでは事故の原因となることがよくあります。 通常、自由にプログラム可能な制御装置は、変化する市場に柔軟かつ迅速に対応できるようにするために導入されます。 ただし、特に複雑なシステムでは、変更には予測しにくい副作用があります。 したがって、すべての変更は厳密に正式な変更管理手順に従う必要があり、安全に関連しない部分システムから安全機能を明確に分離することで、安全技術に対する変更の結果を調査しやすくすることができます。

コンピュータは低レベルの電力で動作します。 そのため、外部放射線源からの干渉を受けやすくなっています。 何百万もの信号の中から単一の信号を変更すると誤動作につながる可能性があるため、コンピュータに関連する電磁両立性のテーマに特に注意を払う価値があります。

現在、コンピュータ制御システムのサービスはますます複雑になり、不明確になっています。 したがって、ユーザーおよび設定ソフトウェアのソフトウェア人間工学は、安全技術の観点からより興味深いものになっています。

100% テスト可能なコンピューター システムはありません。 32 のバイナリ入力ポートと 1,000 の異なるソフトウェア パスを備えた単純な制御メカニズムには、4.3 × 10 が必要です。12 完全なチェックのためのテスト。 毎秒 100 回のテストの実行と評価の速度で、完全なテストには 1,362 年かかります。

コンピュータ制御安全装置の改善のための手順と措置

過去 10 年間に、コンピューターに関連する特定の安全関連の課題を習得できる手順が開発されました。 これらの手順は、このセクションで説明されているコンピューターの障害に対応しています。 機械の安全装置におけるソフトウェアとコンピューターの例と分析された事故は、損傷の程度と、さまざまな用途に伴うリスクが非常に多様であることを示しています。 したがって、安全技術で使用されるコンピュータとソフトウェアの改善に必要な予防措置が、リスクに関連して確立されるべきであることは明らかです。

図 2 は、安全システムを使用して得られる必要なリスク低減を、損傷が発生する程度や頻度とは無関係に決定できる定性的な手順を示しています (Bell and Reinert 1992)。 「コンピュータ制御システムによる事故」(上記) のセクションで分析されたコンピュータ システムの障害の種類は、いわゆる安全度水準、つまりリスク軽減のための技術設備と関連付けることができます。

図 2. リスク決定のための定性的手順

ACC260F3

図 3 は、どのような場合でも、ソフトウェアとコンピューターのエラーを減らすために講じられた対策の有効性は、リスクの増加に伴って大きくなる必要があることを明らかにしています (DIN 1994; IEC 1993)。

図 3、リスクとは無関係にエラーに対して講じられた予防措置の有効性

ACC260F4

上記の事故の分析は、コンピューター制御のセーフガードの失敗が、ランダムなコンポーネントの故障だけでなく、プログラマーが考慮に入れなかった特定の動作条件によっても引き起こされることを示しています。 システム メンテナンスの過程で行われたプログラムの変更のすぐには明らかではない結果は、さらなるエラーの原因となります。 したがって、マイクロプロセッサによって制御される安全システムには障害が発生する可能性があり、システムの開発中に発生したとしても、動作中にのみ危険な状況につながる可能性があります。 したがって、安全関連システムの開発段階では、このような障害に対する予防措置を講じる必要があります。 これらのいわゆる失敗回避策は、構想段階だけでなく、開発、インストール、および変更の過程でも実行する必要があります。 このプロセス中に特定の障害が発見され、修正された場合、特定の障害を回避できます (DIN 1990)。

最後の事故で明らかになったように、単一のトランジスタの故障は、非常に複雑な自動化された機器の技術的な故障につながる可能性があります。 個々の回路は何千ものトランジスタやその他のコンポーネントで構成されているため、動作中のターンアップなどの障害を認識し、コンピューター システムで適切な反応を開始するために、多数の障害回避手段を講じる必要があります。 図 4 は、プログラム可能な電子システムの障害の種類と、コンピュータ システムの障害を回避および制御するために取られる予防措置の例を示しています (DIN 1990; IEC 1992)。

図 4. コンピューター・システムのエラーを制御および回避するための予防措置の例

ACC260F5

安全技術におけるプログラマブル電子システムの可能性と展望

最新の機械とプラントはますます複雑になり、これまで以上に包括的なタスクをより短い期間で達成する必要があります。 このため、1970 年代半ば以降、コンピューター システムは産業のほぼすべての分野を席巻してきました。 この複雑さの増加だけでも、そのようなシステムの安全技術の向上に伴うコストの上昇に大きく貢献しています。 ソフトウェアとコンピューターは、職場の安全性に大きな課題をもたらしますが、安全技術の分野でエラーを起こしにくい新しいシステムを実装することも可能にします。

Ernst Jandl による、くだらないが有益な詩は、この概念が何を意味するかを説明するのに役立ちます エラーに強い. 「Lichtung: Manche meinen lechts und rinks kann man nicht velwechsern, werch ein Illtum」. (「ディレクション:多くの人が光を信じており、reftは知性を変えることができない、なんてうらやましい」。) 手紙の交換にもかかわらず r & l、このフレーズは、普通の大人なら簡単に理解できます。 英語が苦手な人でも英語に翻訳できます。 ただし、このタスクは、翻訳するコンピューターだけではほとんど不可能です。

この例は、人間が言語コンピューターよりもはるかにエラーに優しい方法で反応できることを示しています。 これは、人間が他のすべての生き物と同様に、経験を参照することで失敗を許容できることを意味します。 現在使用されている機械を見ると、大部分の機械が、ユーザーの障害を事故ではなく、生産の減少という形で罰していることがわかります。 この特性は、セーフガードの操作または回避につながります。 最新のコンピューター技術により、システムは作業の安全性を自由に利用できるようになり、インテリジェントに、つまり変更された方法で反応できるようになります。 したがって、このようなシステムは、新しいマシンでエラーに優しい動作モードを可能にします。 誤った操作が行われている間は、まずユーザーに警告し、それが事故を回避する唯一の方法である場合にのみ、機械を停止します。 事故の分析は、この分野に事故を減らす大きな可能性があることを示しています (Reinert and Reuss 1991)。

 

戻る

免責事項: ILO は、この Web ポータルに掲載されているコンテンツが英語以外の言語で提示されていることについて責任を負いません。英語は、オリジナル コンテンツの最初の制作およびピア レビューに使用される言語です。その後、特定の統計が更新されていません。百科事典の第 4 版 (1998 年) の作成。

内容