マイクロエレクトロニクスとセンサー技術の一般的な発展は、信頼性が高く、耐久性があり、保守が少なく、安価な存在および接近検出器を利用できるようにすることで、労働安全の改善が達成できることを期待する理由を与えています. この記事では、センサー技術、さまざまな検出手順、センサー システムの使用に適用される条件と制限、およびドイツで完了した研究と標準化作業について説明します。

存在検出器の基準

存在検出器の開発と実際の試験は、労働安全の改善と人員全般の保護における技術的取り組みに対する将来の最大の課題の XNUMX つです。 存在検出器 確実かつ確実に信号を送信するセンサーです。 人の存在または接近の近く。 さらに、この警告は、予測される接触が発生する前に、回避行動、ブレーキ、または停止中の機械の停止が行われるように、迅速に発生する必要があります。 人が大きいか小さいかに関係なく、姿勢や服装がセンサーの信頼性に影響を与えることはありません。 さらに、建設現場やモバイル アプリケーションなどの最も要求の厳しい条件下で最小限のメンテナンスで使用できるように、センサは確実に機能し、頑丈で安価でなければなりません。 センサーは、メンテナンスフリーで常に準備が整っているという点で、エアバッグのようなものでなければなりません。 一部のユーザーは、必須ではない機器と見なすものを維持することをためらうため、センサーは何年も保守されないままになる可能性があります。 存在検出器のもう XNUMX つの特徴は、要求される可能性がはるかに高いものですが、人間以外の障害物も検出し、防御措置を講じるのに間に合うようにオペレーターに警告することです。これにより、修理や物的損害のコストが削減されます。 これが、過小評価されるべきではない存在検出器をインストールする理由です。

検出器アプリケーション

労働安全の分野で存在検出器が予防手段としてより受け入れられるようになれば、避けられない個々の運命的な行為のように見える無数の致命的な事故や重傷を回避または最小限に抑えることができます。 新聞はこれらの事故を非常に頻繁に報じています。ここでは人が後方に移動するローダーにぶつかり、オペレーターはパワーショベルの前輪にひかれた人を見ませんでした。 道路や会社の敷地内、建設現場でのトラックの逆走は、多くの人身事故の原因となっています。 今日の完全に合理化された企業は、トラックをバックアップしているドライバーのガイドとして行動するコ・ドライバーや他の人をもはや提供していません。 これらの移動事故の例は、フォーク リフト トラックなどの他の移動機器に簡単に拡張できます。 ただし、セミモバイルおよび純粋に固定された機器が関与する事故を防ぐために、センサーの使用が緊急に必要です。 例としては、安全担当者によって、安価なセンサーを使用して改善できる可能性のある潜在的に危険な領域として識別された、大型の積載機械の後部領域があります。 存在検出器の多くのバリエーションを革新的に他の車両や大型モバイル機器に適用して、この記事で説明したタイプの事故から保護することができます。これらのタイプの事故は、一般に、致命的ではないにしても、大規模な損傷や重傷を引き起こします。

革新的なソリューションがより普及する傾向は、存在検出器が他のアプリケーションの標準的な安全技術になることを約束するように思われます。 ただし、これはどこにも当てはまりません。 事故と重大な物的損害に動機付けられたこの突破口は、配送用バンや大型トラックの背後での監視、および「新技術」の最も革新的な分野である未来のモバイル ロボット マシンの監視において期待されています。

プレゼンス検出器の適用分野のバリエーションとタスクの多様性 (たとえば、検出フィールドに属し、信号をトリガーしてはならないオブジェクト (特定の条件下では移動オブジェクトでさえ) を許容するなど) には、次のようなセンサーが必要です。インテリジェントな」評価技術がセンサー機能のメカニズムをサポートします。 将来の開発課題であるこの技術は、人工知能の分野を利用した方法から精緻化することができます (Schreiber and Kuhn 1995)。 今日まで、限られた普遍性により、センサーの現在の使用は厳しく制限されてきました。 光のカーテンがあります。 ライトバー; コンタクトマット; パッシブ赤外線センサー; ドップラー効果を使用する超音波およびレーダーの動き検出器。 超音波、レーダー、光インパルスの経過時間測定を行うセンサー。 そしてレーザースキャナー。 モニターに接続された通常のテレビ カメラは、プレゼンス ディテクターではないため、このリストには含まれません。 ただし、人の存在を感知して自動的に作動するカメラは含まれます。

センサー技術

現在、主なセンサーの問題は、(1) 物理的効果 (赤外線、光、超音波、レーダーなど) の使用の最適化と (2) 自己監視です。 レーザ スキャナは、移動ロボットのナビゲーション機器として使用するために集中的に開発されています。 このためには、原理的に部分的に異なる 1993 つのタスクを解決する必要があります。ロボットのナビゲーションと、そこにいる人 (および材料または機器) が衝突されたり、轢かれたり、つかまれたりしないように保護することです (Freund, Dierks and Rossman XNUMX ）。 将来の移動ロボットは、今日の固定型産業用ロボットに厳密に適用されている「ロボットと人の空間分離」という同じ安全哲学を維持することはできません。 これは、使用する存在検出器の信頼できる機能に高いプレミアムを置くことを意味します。

「新技術」の使用は、受け入れの問題に関連していることが多く、工場、公共交通エリア、さらには家庭やレクリエーションエリアでさえ、移動してつかむことができるモバイルロボットの一般的な使用が想定されます。 、非常に高度に開発された洗練された信頼性の高い存在検出器が装備されている場合にのみ受け入れられます。 起こりうる受け入れの問題を悪化させることを避けるために、壮大な事故は何としてでも避けなければなりません。 このタイプの職業用保護センサーの開発のための現在の支出レベルは、このことを考慮に入れるには及ばない。 多くのコストを節約するために、存在検出器は、後でではなく、移動ロボットおよびナビゲーション システムと同時に開発およびテストする必要があります。

自動車に関しては、安全性の問題がますます重要になってきています。 自動車の乗客の革新的な安全性には、XNUMX 点式シートベルト、チャイルド シート、エアバッグ、一連の衝突試験で検証されたアンチロック ブレーキ システムが含まれます。 これらの安全対策は、生産コストの比較的増加する部分を表しています。 前方の車との距離を測定するためのサイド エアバッグとレーダー センサー システムは、乗員保護における革新的な開発です。

外部の自動車の安全性、つまり第三者の保護に対する注目が高まっています。 最近では、オートバイ、自転車、歩行者が後輪の下に落ちる危険を防ぐために、主にトラックにサイドプロテクションが必要になっています。 次の論理的なステップは、大型車両の背後を存在検出器で監視し、後方警告装置を設置することです。 これには、労働安全目的のための最大性能、自己監視、メンテナンスフリーで確実に機能する安価なセンサーの開発、テスト、および利用可能にするために必要な資金を提供するというプラスの副作用があります。 センサーまたはセンサー システムの広範な実装に伴う試行プロセスは、パワー ショベル、ヘビー ローダー、および動作中に半分の時間をバックアップするその他の大型モバイル マシンなど、他の分野でのイノベーションを大幅に促進します。 固定ロボットから移動ロボットへの進化プロセスは、存在検出器の開発の追加パスです。 たとえば、移動ロボットの資材運搬車や「無人工場フロア トラクター」で現在使用されているセンサーを改善することができます。これらのトラクターは、固定された経路をたどるため、安全要件が比較的低くなります。 存在検出器の使用は、物資および旅客輸送の分野における安全性を向上させるための次の論理的なステップです。

検出手順

上述のタスクを評価し、解決するために、電子測定および自己監視方法、およびある程度の高性能コンピューティング手順に関連して利用可能なさまざまな物理的原理を使用することができます。 SF映画で非常に一般的な自動化されたマシン（ロボット）の一見楽で確実な操作は、現実の世界では、イメージング技術と高性能パターン認識アルゴリズムをそれらに類似した距離測定方法と組み合わせて使用​​ することで達成される可能性があります。レーザースキャナーで採用。 人にとっては簡単に見えることはすべて自動機械にとっては難しいという逆説的な状況を認識しなければなりません。 たとえば、優れたチェスのプレー (前脳の活動を必要とする) などの困難なタスクは、直立歩行や手と目、およびその他の運動の調整 (によって媒介される) の実行などの単純なタスクよりも、自動化されたマシンによってより簡単にシミュレートおよび実行できます。中脳と後脳）。 これらの原理、センサー アプリケーションに適用可能な方法、および手順のいくつかを以下に説明します。 これらに加えて、さまざまなタイプの物理的効果の組み合わせで部分的に機能する、非常に特別なタスクのための特別な手順が多数あります。

遮光カーテンとバー。 最初の存在検出器の中には、光バリア カーテンとバーがありました。 それらはフラットな監視ジオメトリを持っています。 つまり、バリアを通過した人は検出されなくなります。 これらのデバイスを使用すると、たとえば、オペレータの手、またはオペレータの手に保持されているツールまたは部品の存在を迅速かつ確実に検出できます。 これらは、手作業で材料を投入する必要がある機械 (プレス機やパンチング マシンなど) の労働安全に大きく貢献します。 XNUMX 分間に XNUMX ～ XNUMX 回しか手が届かない場合でも、わずか数年で約 XNUMX 万回の操作が行われるため、信頼性は統計的に非常に高くなければなりません。 送信側コンポーネントと受信側コンポーネントの相互自己監視は、他のすべてのプレゼンス検出手順の標準となる非常に高い技術レベルまで開発されています。

コンタクトマット（スイッチマット）. パッシブとアクティブ (ポンプ) の両方のタイプの電気および空気圧接触マットとフロアがあり、最初はサービス機能 (ドア オープナー) で多数使用されていましたが、モーション ディテクターに置き換えられました。 さらなる開発は、あらゆる種類の危険ゾーンで存在検出器を使用することで進化します。 たとえば、機械の操作からその機能の厳密な監視へと労働者の機能が変化した自動製造の開発は、適切な検出器に対する対応する需要を生み出しました。 この使用の標準化は十分に進んでおり (DIN 1995a)、特別な制限 (レイアウト、サイズ、最大許容「デッド」ゾーン) により、この使用領域での設置には専門知識の開発が必要でした。

コンピュータ制御の複数のロボットシステムと組み合わせることで、コンタクトマットの興味深い用途が生まれます。 オペレーターは、存在検出器が正確な位置を取得し、衝突回避システムが組み込まれたロボット制御システムを管理するコンピューターに通知するように、1993 つまたは 1 つの要素を切り替えます。 ドイツ連邦安全研究所 (BAU) によって進められた XNUMX つのテストでは、この目的のために、ロボット アームの作業領域の下に、小さな電気スイッチ マットで構成される接触マット フロアが構築されました (Freund、Dirks、および Rossman XNUMX)。 この存在検出器は、チェス盤の形をしていました。 それぞれ有効化されたマット フィールドはコンピューターにオペレーターの位置を伝え (図 XNUMX)、オペレーターがロボットに近づきすぎるとロボットは離れていきました。 存在検出器がなければ、ロボット システムはオペレータの位置を確認できず、オペレータを保護することはできません。

図 1. 計算されたラッパー ボディ内の人 (右) と XNUMX 台のロボット

リフレクター (モーション センサーと存在検出器)。 これまでに議論されたセンサーがどれだけ価値があるとしても、それらは広い意味での存在検出器ではありません。 主に労働安全上の理由から、大型車両および大型モバイル機器に対するそれらの適合性は、1 つの重要な特性を前提としています: (2) XNUMX つの位置からエリアを監視する能力、および (XNUMX) 追加の対策を必要とせずにエラーのない機能。たとえば、リフレクター デバイスの使用。 監視エリアに人が入り、その人がいなくなるまで立ち止まっていることを検出することは、完全に静止している人を検出する必要があることも意味します。 これは、少なくともモバイル機器に関連して、いわゆるモーションセンサーを存在検出器と区別します。 モーション センサーは、ほとんどの場合、車両が動き出したときにトリガーされます。

モーションセンサー。 モーション センサーの 1 つの基本的なタイプは次のとおりです。 (10) 「パッシブ赤外線センサー」 (PIRS)。監視領域の赤外線ビームの最小の変化に反応します (検出可能な最小ビームは約 XNUMX です)。^-9 約 7 ～ 20 μm の波長範囲の W); (2) ドップラー原理を使用した超音波およびマイクロ波センサー。周波数の変化に応じて物体の動きの特性を決定します。 たとえば、ドップラー効果は、機関車が接近しているときにオブザーバーに対して機関車のホーンの周波数を増加させ、機関車が遠ざかっているときに周波数を減少させます。 ドップラー効果により、受信機はドップラー周波数の出現について隣接する周波数帯域の信号周波数を監視するだけでよいため、比較的単純なアプローチセンサーの構築が可能になります。

1970 年代半ばに、モーション ディテクターの使用は、ドア オープナー、盗難防止、物体保護などのサービス機能アプリケーションで普及するようになりました。 定置使用の場合、危険な場所に向かって人が近づいていることを検出すると、適時に警告を発したり、機械の電源を切ったりするのに十分でした。 これは、特に PIRS を使用して、労働安全に使用するための動作検出器の適合性を研究するための基礎でした (Mester et al. 1980)。 服を着ている人は一般に周囲よりも温度が高いため (頭 34°C、手 31°C)、無生物よりも近づいている人を検出する方がやや簡単です。 限られた範囲で、機械部品は、検出器をトリガーせずに監視エリア内を動き回ることができます。

パッシブ方式 (送信機なし) には、長所と短所があります。 PIRS の利点は、ノイズや電気スモッグの問題が発生しないことです。 盗難防止と物体保護のためには、探知器を簡単に見つけられないことが特に重要です。 しかし、純粋に受信機であるセンサーは、労働安全に不可欠な自身の有効性を監視することはほとんどできません。 この欠点を克服するための 5 つの方法は、監視対象エリアに設置され、センサーをトリガーしない小さな変調 (20 ～ 2 Hz) 赤外線エミッターをテストすることでしたが、そのビームは、変調周波数に設定された固定電子増幅で登録されました。 この変更により、「パッシブ」センサーから「アクティブ」センサーに変わりました。 このようにして、監視領域の幾何学的精度をチェックすることもできました。 鏡には死角があり、パッシブ センサーの方向は、植物の大まかな活動によってずれることがあります。 図 XNUMX は、ピラミッド マントルの形で監視されたジオメトリを持つ PIRS を使用したテスト レイアウトを示しています。 到達範囲が広いため、パッシブ赤外線センサーは、棚保管エリアの通路などに設置されています。

図 2. 危険エリアでの接近検知器としてのパッシブ赤外線センサー

全体として、動作検出器は労働安全に適していないことがテストで示されました。 美術館の夜間フロアは、職場の危険ゾーンとは比較になりません。

超音波、レーダー、光インパルス検出器。 パルス/エコー原理を使用するセンサー、つまり、超音波、レーダー、または光インパルスの経過時間測定は、存在検出器として大きな可能性を秘めています。 レーザー スキャナーを使用すると、光インパルスは、たとえば水平方向にすばやく連続して (通常は回転方式で) 掃引できます。また、コンピューターの助けを借りて、光を反射する平面上のオブジェクトの距離プロファイルを取得できます。 たとえば、2 本の線だけでなく、高さ XNUMX メートルまでの領域で移動ロボットの前にあるもの全体が必要な場合、周囲の領域を表すために大量のデータを処理する必要があります。 将来の「理想的な」プレゼンス検出器は、次の XNUMX つのプロセスの組み合わせで構成されます。

1. カメラとコンピューターからなるパターン認識プロセスが採用されます。 後者は「ニューロネット」にもなります。
2. 距離を測定するには、さらにレーザー スキャン プロセスが必要です。 これは、速度と方向によって距離と動きを取得するために確立された、パターン認識プロセスによって選択された多数の個々のポイントから、XNUMX 次元空間での関係を取得します。

図 3 は、以前に引用した BAU プロジェクト (Freund、Dierks、Rossman 1993) から、移動ロボットでのレーザー スキャナーの使用を示しています。移動ロボットは、ナビゲーション タスク (方向検知ビームを介して) と、すぐ近くにあるオブジェクトの衝突保護も引き受けます。 （存在検出のための地上測定ビームを介して）。 これらの機能を考えると、移動ロボットには次の機能があります。 アクティブ自動フリードライビング （つまり、障害物を回避する能力）。 技術的には、これは、前方への 45° の角度に加えて、スキャナの両側 (ロボットの左舷および右舷) の後方への 180° の角度を利用することによって実現されます。 これらのビームは、移動ロボットの前の床でライト カーテンとして機能する特別なミラーに接続されています (地上のビジョン ラインを提供します)。 そこからレーザーの反射が来ると、ロボットは停止します。 労働安全用途として認定されたレーザーおよび光スキャナーが市場に出回っていますが、これらの存在検出器はさらなる開発の大きな可能性を秘めています。

図 3. ナビゲーションおよび存在検出用のレーザー スキャナーを搭載したモバイル ロボット

信号から応答までの経過時間を使用して距離を決定する超音波およびレーダー センサーは、技術的な観点から要求が少ないため、より安価に製造できます。 センサー領域はクラブの形をしており、左右対称に配置された 330 つまたは複数の小さなサイド クラブがあります。 信号の拡散速度 (音: 300,000 m/s、電磁波: XNUMX km/s) によって、使用される電子機器の必要な速度が決まります。

後方警告装置。 1985 年のハノーバー博覧会で、BAU は超音波センサーを使用して大型車両の背後の領域を確保する最初のプロジェクトの結果を示しました (Langer and Kurfürst 1985)。 ポラロイド™ センサーで作られたセンサー ヘッドの実物大モデルが、供給トラックの後ろの壁に設置されました。 図 4 は、その機能を概略的に示しています。 このセンサーの直径が大きいため、比較的小さな角度 (約 18°) の長距離クラブ型の測定領域が生成され、互いに隣接して配置され、異なる最大信号範囲に設定されます。 実際には、監視対象のジオメトリを任意に設定できます。このジオメトリは、センサーによって毎秒約 XNUMX 回スキャンされ、人の存在または侵入を検出します。 他の実演された後部警告システムには、いくつかの並列の個別のアレイセンサーがありました。

図 4. 測定ヘッドの配置とトラック後部の監視エリア

この鮮やかなデモンストレーションは、展示会で大成功を収めました。 業界団体の専門委員会などで、大型車両や設備の後方確保が各所で検討されていることが示された。 (ベルーフスゲノッセンスシャフト)、地方自治体の事故保険会社（地方自治体の車両を担当）、州の業界監督官僚、およびセンサーの製造業者は、自動車をサービス車両として考えていました（駐車システムに焦点を当てて保護するという意味で）。車体損傷）。 グループから引き出された後部エリア警告装置を促進する特別委員会が自発的に形成され、最初のタスクとして労働安全の観点からの要件リストの準備を行いました。 XNUMX 年が経過し、その間に後方監視で多くの作業が行われました。これはおそらく存在検出器の最も重要なタスクです。 しかし、大きなブレークスルーはまだありません。

多くのプロジェクトが超音波センサーを使用して実施されてきました。たとえば、丸太選別クレーン、油圧ショベル、特殊な地方自治体の車両、およびその他のユーティリティ ビークル、フォーク リフト トラックやローダー (Schreiber 1990) などです。 後部警告装置は、多くの時間バックする大型機械にとって特に重要です。 超音波存在検出器は、たとえば、ロボット マテリアル ハンドリング マシンなどの特殊な無人車両の保護に使用されます。 ラバー バンパーと比較して、これらのセンサーは検出領域が広く、機械と物体が接触する前にブレーキをかけることができます。 自動車用の対応するセンサーは適切な開発であり、要件が大幅に緩和されています。

その間、DIN の輸送システム技術標準委員会は、標準 75031「後退中の障害物検出装置」(DIN 1995b) を作成しました。 要件とテストは、供給トラック用の 1.8 m と大型トラック用の 3.0 m (追加の警告エリア) の 3 つの範囲に設定されました。 監視領域は、円筒状の試験体の認識を通じて設定されます。 超音波センサーは、大雑把な作業条件を考えると、閉じた金属膜を備えている必要があるため、5 m の範囲は現在技術的に可能な範囲のほぼ限界です。 必要な監視ジオメトリは、1996 つ以上のセンサーのシステムでのみ達成できるため、センサー システムの自己監視の要件が設定されています。 図 75031 は、12155 つの超音波センサーで構成される後方警告装置を示しています (Microsonic GmbH 1994)。 同じことが運転室の通知装置と警告信号の種類にも当てはまります。 DIN 規格 XNUMX の内容は、国際技術 ISO レポート TR XNUMX、「商用車 - 後退中の障害物検出装置」(ISO XNUMX) にも記載されています。 さまざまなセンサー メーカーが、この規格に従ってプロトタイプを開発しました。

図 5. 後方警告装置を搭載した中型トラック (Microsonic 写真)。

まとめ

1970 年代初頭以来、いくつかの機関やセンサー メーカーが「存在検出器」の開発と確立に取り組んできました。 「後方警告装置」の特別な用途には、DIN 規格 75031 と ISO レポート TR 12155 があります。現在、ドイツポスト AG は主要なテストを行っています。 いくつかのセンサー メーカーは、それぞれ XNUMX 台の中型トラックにこのようなデバイスを装備しています。 このテストの肯定的な結果は、労働安全にとって非常に重要です。 最初に強調したように、必要な数の存在検出器は、言及された多くの応用分野における安全技術にとって大きな課題です。 したがって、機器、機械、材料の損傷、とりわけ、しばしば非常に深刻な人への傷害を過去のものにする場合、それらは低コストで実現可能でなければなりません。

戻る

制御装置および分離およびスイッチングに使用される装置は、常に次の点に関連して議論する必要があります。 技術システム、この記事では、機械、設備、および機器を含む用語として使用されています。 すべての技術システムは、特定の割り当てられた実際のタスクを実行します。 この実用的なタスクが安全な条件下で実行可能または可能である場合は、適切な安全制御およびスイッチング デバイスが必要です。 このような装置は、制御を開始し、電流および/または電気、油圧、空気圧、およびポテンシャルエネルギーのインパルスを遮断または遅延させるために使用されます。

隔離とエネルギー削減

絶縁装置は、エネルギー源と技術システムの間の供給ラインを切断することによってエネルギーを絶縁するために使用されます。 絶縁装置は、通常、エネルギー供給の明確に決定可能な実際の切断をもたらす必要があります。 エネルギー供給の切断は、技術システムのすべての部分に蓄えられたエネルギーの削減と常に組み合わせる必要があります。 技術システムに複数のエネルギー源が供給されている場合、これらすべての供給ラインは確実に分離できなければなりません。 関連する種類のエネルギーを取り扱う訓練を受け、技術システムのエネルギー端で働く人員は、絶縁装置を使用してエネルギーの危険から身を守ります。 安全上の理由から、これらの担当者は、潜在的に危険なエネルギーが技術システムに残っていないことを常にチェックします。たとえば、電気エネルギーの場合、電位が存在しないことを確認します。 特定の絶縁装置を危険なく取り扱うことができるのは、訓練を受けた専門家のみです。 そのような場合、隔離装置は許可されていない人がアクセスできないようにする必要があります。 (図 1 を参照してください。)

図 1. 電気および空気圧絶縁装置の原理

マスタースイッチ

マスタースイッチ装置は、技術システムをエネルギー供給から切り離します。 隔離装置とは異なり、「非エネルギー専門家」でも危険なく操作できます。 マスター スイッチ デバイスは、たとえば、承認されていない第三者によって操作が妨害された場合に、その時点で使用されていない技術システムを切断するために使用されます。 また、メンテナンス、誤動作の修理、クリーニング、リセット、および再取り付けなどの目的で切断を行うためにも使用されます。 当然のことながら、マスタースイッチデバイスが絶縁デバイスの特性も備えている場合、その機能を引き受けたり共有したりすることもできます。 (図 2 参照)

図 2. 電気および空気圧マスター スイッチ デバイスのサンプル図

安全切断装置

安全切断装置は、技術システム全体をエネルギー源から切断するわけではありません。 むしろ、特定の運用サブシステムにとって重要なシステムの部分からエネルギーを取り除きます。 短期間の介入は、運用サブシステムに対して指定できます。たとえば、システムのセットアップまたはリセット/再取り付け、誤動作の修理、定期的な清掃、コース中に必要な必須および指定された動きと機能シーケンスなどです。セットアップ、リセット/再取り付け、または試運転の。 このような場合、複雑な生産設備やプラントはマスタースイッチ装置で単純に停止することはできません。故障が修復された後、中断したところから技術システム全体を再開することができないからです。 さらに、より大規模な技術システムでは、介入が必要な場所にマスター スイッチ デバイスが配置されることはめったにありません。 したがって、安全切断装置は、次のような多くの要件を満たす必要があります。

• エネルギーの流れを確実に遮断し、誤って入力された、または誤って生成された制御信号によって危険な動きやプロセスが引き起こされないようにします。
• 技術システムの運用サブシステムの危険な領域で中断を行う必要がある場所に正確にインストールされます。 必要に応じて、複数の場所に設置できます (たとえば、さまざまなフロア、さまざまな部屋、機械や機器のさまざまなアクセス ポイントなど)。
• その制御装置には明確にマークされた「オフ」位置があり、エネルギーの流れが確実に遮断された後に一度だけ登録されます。
• 「オフ」位置になると、その制御装置は、(a) 問題の危険領域が制御領域から確実に監視できない場合、および (b) 危険領域にいる人自身がその危険領域を見ることができない場合に、許可なく再起動されることを防ぐことができます。または (c) 規制または組織の手順によってロックアウト/タグアウトが必要な場合。
• 拡張された技術システムの XNUMX つの機能ユニットのみを切断する必要があります。ただし、他の機能ユニットが介入者に危険を及ぼすことなく独自に動作し続けることができる場合です。

特定の技術システムで使用されるマスタースイッチデバイスが安全切断デバイスのすべての要件を満たすことができる場合、この機能も引き受けることができます。 しかし、もちろん、それは非常に単純な技術システムでのみ信頼できる手段になります。 (図 3 参照)

図 3. 安全切断装置の基本原理の図

運用サブシステムの制御装置

制御装置は、技術システムの運用サブシステムに必要な動作と機能シーケンスを実装し、安全に制御できるようにします。 運用サブシステムの制御装置は、セットアップのために必要になる場合があります (テスト実行が実行される場合)。 調整用（システムの動作の誤動作を修復する必要がある場合、または閉塞を解消する必要がある場合）; またはトレーニング目的（操作のデモンストレーション）。 このような場合、介入者は、誤って入力された、または誤って生成された制御信号によって引き起こされる動きやプロセスによって危険にさらされるため、システムの通常の動作を簡単に再開することはできません。 運用サブシステムの制御装置は、次の要件に準拠する必要があります。

• 技術システムの運用サブシステムに必要な動作とプロセスを安全に実行できるようにする必要があります。 たとえば、特定の動きは速度を落として実行され、徐々にまたは電力のレベルを下げて (適切なものに応じて) 実行され、コントロール パネルが使用されなくなった場合、原則としてプロセスが即座に中断されます。
• その制御パネルは、その操作がオペレーターを危険にさらさず、制御されるプロセスが完全に見える場所に配置する必要があります。
• さまざまなプロセスを制御する複数のコントロール パネルが XNUMX つの場所にある場合、これらは明確にマークされ、明確でわかりやすい方法で配置されている必要があります。
• 運用サブシステムの制御装置は、通常の運用が確実に解除された場合にのみ有効になる必要があります。 つまり、制御コマンドが通常の操作から効果的に発行されず、制御装置をオーバーライドできないことが保証されなければなりません。
• 操作サブシステムの制御装置の不正使用は、たとえば、問題の機能を解放するために特別なキーまたはコードの使用を要求することによって防止できる必要があります。 (図 4 を参照してください。)

図 4. 可動および固定の運用サブシステムの制御装置の作動装置

緊急スイッチ

技術システムの通常の動作が、適切なシステム設計でも適切な安全対策の講じても防ぐことができない危険をもたらす可能性がある場合、緊急スイッチが必要です。 運用サブシステムでは、緊急スイッチは運用サブシステムの制御装置の一部であることがよくあります。 危険な場合に操作されると、緊急スイッチは、技術システムをできるだけ早く安全な動作状態に戻すプロセスを実行します。 安全上の優先事項に関しては、人の保護が第一の関心事です。 後者が人を危険にさらす可能性がある場合を除き、材料への損傷の防止は二次的なものです。 緊急スイッチは、次の要件を満たす必要があります。

• 技術システムの安全な動作状態をできるだけ早くもたらす必要があります。
• そのコントロール パネルは、危険にさらされている人が問題なく操作でき、緊急事態に対応する他の人が到達できるように、簡単に認識して配置および設計する必要があります。
• それが引き起こす緊急プロセスは、新たな危険をもたらしてはなりません。 たとえば、クランプ装置を解放したり、磁気保持器具を取り外したり、安全装置をブロックしたりしてはなりません。
• 緊急スイッチ プロセスがトリガーされた後、技術システムは、緊急スイッチ コントロール パネルのリセットによって自動的に再起動できてはなりません。 むしろ、新しい機能制御コマンドを意識的に入力する必要があります。 (図 5 を参照してください。)

図 5. 非常スイッチの制御盤の原理図

機能スイッチ制御装置

機能スイッチ制御装置は、通常の操作のために技術システムのスイッチを入れ、通常の操作のために指定された動きとプロセスを開始、実行、および中断するために使用されます。 機能スイッチ制御装置は、技術システムの通常の動作の過程でのみ使用されます。つまり、割り当てられたすべての機能が妨げられずに実行されます。 これは、技術システムを実行する担当者によって適宜使用されます。 機能スイッチ制御装置は、次の要件を満たす必要があります。

• コントロール パネルはアクセスしやすく、危険なく簡単に使用できる必要があります。
• コントロール パネルは、明確かつ合理的に配置する必要があります。 たとえば、コントロール ノブは、上下左右の制御された動きに関して「合理的に」動作する必要があります。 (「合理的な」制御の動きとそれに対応する効果は、局所的な変動の影響を受ける可能性があり、規定によって定義されることもあります。)
• それらのコントロールパネルには、わかりやすいシンボルを使用して、明確かつわかりやすいラベルを付ける必要があります。
• 安全な実行のためにユーザーの完全な注意を必要とするプロセスは、エラーで生成された制御信号によって、またはそれらを管理する制御デバイスの不注意な操作によってトリガーされないようにする必要があります。 制御盤の信号処理は適切に信頼できるものでなければならず、制御装置の適切な設計によって不随意操作を防止する必要があります。 (図 6 を参照)。

図 6. 操作コントロール パネルの概略図

監視スイッチ

監視スイッチは、監視対象の安全条件が満たされていない限り、技術システムの起動を防ぎ、安全条件が満たされなくなるとすぐに操作を中断します。 たとえば、保護コンパートメントのドアを監視したり、安全ガードの正しい位置を確認したり、速度やパスの制限を超えていないことを確認したりするために使用されます。 したがって、監視スイッチは、次の安全性と信頼性の要件を満たす必要があります。

• 監視目的で使用される開閉装置は、特に信頼性の高い方法で保護信号を発信する必要があります。 たとえば、機械的な監視スイッチは、特定の信頼性で信号の流れを自動的に遮断するように設計されている場合があります。
• モニタリング目的で使用されるスイッチング ツールは、安全条件が満たされていない場合 (たとえば、自動遮断機能付きモニタリング スイッチのプランジャが機械的かつ自動的に遮断位置に押された場合) に、特に信頼性の高い方法で操作する必要があります。
• 監視スイッチは、少なくとも意図的ではなく、何らかの努力なしに、不適切にオフにできてはなりません。 この条件は、たとえば、スイッチと操作要素がしっかりと取り付けられている場合に、自動遮断機能を備えた機械式の自動制御スイッチによって満たすことができます。 (図 7 を参照)。

図 7. ポジティブな機械的動作とポジティブな切断を備えたスイッチの図

安全制御回路

上記の安全スイッチング装置のいくつかは、安全機能を直接実行するのではなく、安全制御回路によって送信および処理され、最終的に実際の安全機能を実行する技術システムの部分に到達する信号を発信することによって実行されます。 たとえば、安全切断装置は、重要なポイントでエネルギーを間接的に切断することがよくありますが、メイン スイッチは通常、技術システムへの電流の供給を直接切断します。

安全制御回路は安全信号を確実に送信する必要があるため、次の原則を考慮する必要があります。

• 断線時や漏電時など、外部エネルギーが不足または不足している場合でも、安全性を確保する必要があります。
• 保護信号は、信号の流れを遮断することでより確実に機能します。 たとえば、オープナー接点またはオープンリレー接点を備えた安全スイッチです。
• アンプ、変圧器などの保護機能は、外部エネルギーなしでより確実に達成できます。 そのようなメカニズムには、例えば、静止時に閉じられる電磁スイッチング装置またはベントが含まれる。
• 安全制御回路でのエラーや漏れによる接続は、誤った始動や停止の妨げにつながることがあってはなりません。 特に、インコンジットとアウトコンジットの間の短絡、漏電、または接地の場合。
• ユーザーの期待を超えない範囲でシステムに影響を与える外部の影響が、安全制御回路の安全機能に干渉してはなりません。

安全制御回路で使用されるコンポーネントは、特に信頼性の高い方法で安全機能を実行する必要があります。 この要件を満たさないコンポーネントの機能は、可能な限り多様な冗長性を確保して実装し、監視下に置く必要があります。

戻る

ここ数年、安全技術の分野でマイクロプロセッサが果たす役割はますます大きくなっています。 コンピュータ全体 (すなわち、中央処理装置、メモリ、および周辺コンポーネント) が「シングルチップ コンピュータ」として単一のコンポーネントで利用できるようになったため、マイクロプロセッサ技術は、複雑な機械制御だけでなく、比較的単純な設計の保護にも採用されています。 (例えば、ライト グリッド、両手制御装置、セーフティ エッジ)。 これらのシステムを制御するソフトウェアは、XNUMX から数万の単一コマンドで構成され、通常は数百のプログラム分岐で構成されています。 プログラムはリアルタイムで動作し、ほとんどがプログラマーのアセンブリ言語で書かれています。

安全技術の分野でのコンピュータ制御システムの導入は、高価な研究開発プロジェクトだけでなく、安全性を高めるために設計された重大な制限によって、すべての大規模な技術機器に付随しています。 （ここでは、航空宇宙技術、軍事技術、原子力技術が大規模な応用例として挙げられます。）工業的大量生産の集合的な分野は、これまで非常に限られた方法でしか扱われてきませんでした。 これは、産業用機械設計の特徴であるイノベーションの急速なサイクルが、大規模な機械の最終試験に関する研究プロジェクトから得られるような知識を、非常に制限された方法を除いて引き継ぐことを困難にするという理由の一部です。安全装置。 これにより、迅速で低コストの評価手順の開発が必要になります (Reinert and Reuss 1991)。

この記事では、最初にコンピュータ システムが現在安全タスクを実行している機械と施設を調べ、安全技術においてコンピュータが果たす特定の役割を説明するために、機械の安全装置の分野で主に発生している事故の例を使用します。 これらの事故は、現在ますます普及しているコンピュータ制御の安全装置が事故の増加につながらないようにするために、どのような予防策を講じなければならないかについての示唆を与えてくれます。 この記事の最後のセクションでは、正当な費用と許容期間内で、小規模なコンピューター システムでも適切なレベルの技術的安全性を実現できるようにする手順を概説しています。 この最後の部分で示されている原則は、現在国際標準化手順に導入されており、コンピュータが適用される安全技術のすべての分野に影響を与えます。

機械保護分野におけるソフトウェアとコンピュータの使用例

次の XNUMX つの例は、現在、ソフトウェアとコンピュータが商用ドメインの安全関連アプリケーションにますます参入していることを明らかにしています。

個人用緊急信号設備は、原則として、中央受信ステーションと多数の個人用緊急信号装置で構成されています。 デバイスは、現場で作業する人が自分で運びます。 一人で作業している人が緊急事態に陥った場合、この装置を使用して、中央受信ステーションの無線信号でアラームを作動させることができます。 このような意志に依存するアラームトリガーは、個人用緊急装置に組み込まれたセンサーによって起動される意志に依存しないトリガー機構によっても補うことができる。 個々のデバイスと中央受信ステーションの両方がマイクロコンピュータによって制御されることがよくあります。 ビルトインコンピュータの特定の単一機能の故障が、緊急事態において、アラームの作動の失敗につながる可能性があると考えられます。 したがって、このような機能の喪失を時間内に認識して修復するために、予防措置を講じる必要があります。

現在、雑誌の印刷に使用されている印刷機は大型の機械です。 ペーパーウェブは通常、新しいペーパーロールにシームレスに移行できるように、別の機械で準備されます。 印刷されたページは折り機で折り畳まれ、その後一連の機械で処理されます。 これにより、完全に縫製されたマガジンがパレットに積み込まれます。 このようなプラントは自動化されていますが、手作業による介入が必要なポイントが 1 つあります。(2) 用紙経路の糸通し、および (XNUMX) 回転ローラーの危険な場所での用紙の破れによる障害物の除去です。 このため、プレスの調整中は、制御技術によって動作速度を下げるか、経路または時間制限のあるジョギング モードを確保する必要があります。 関連する複雑な操作手順のために、すべての印刷ステーションに独自のプログラマブル ロジック コントローラを装備する必要があります。 ガード グリッドが開いている間に印刷工場の制御で発生した障害は、停止したマシンの予期しない起動や、適切に減速された速度を超える動作につながることを防止する必要があります。

大規模な工場や倉庫では、無人自動誘導ロボット車両が特別にマークされた軌道上を動き回っています。 これらの線路は、他の交通路から構造的に分離されていないため、人がいつでも歩くことができます。また、材料や機器が不注意に線路に残される可能性があります。 このため、何らかの衝突防止装置を使用して、人や物体との危険な衝突が発生する前に車両を停止させる必要があります。 最近のアプリケーションでは、衝突防止は、安全バンパーと組み合わせて使用​​される超音波またはレーザー光スキャナーによって行われます。 これらのシステムはコンピューター制御下で動作するため、人がいる特定の検出ゾーンに応じて車両の反応を変更できるように、複数の永続的な検出ゾーンを構成することができます。 防護装置の故障が、人との危険な衝突につながることがあってはなりません。

断裁制御装置ギロチンは、厚い紙束をプレスして断裁するために使用されます。 それらは両手制御装置によって引き起こされます。 ユーザーは、切断が行われるたびに機械の危険ゾーンに手を伸ばさなければなりません。 通常はライト グリッドなどの重要でない安全装置が、両手制御装置と安全な機械制御システムの両方と組み合わせて使用​​され、切断操作中に用紙が送られる際の怪我を防ぎます。 現在使用されている大型で最新のギロチンのほぼすべてが、マルチチャンネル マイクロコンピュータ システムによって制御されています。 両手操作とライトグリッドの両方が安全に機能することも保証されなければなりません。

コンピュータ制御システムによる事故

産業応用のほぼすべての分野で、ソフトウェアとコンピューターの事故が報告されています (Neumann 1994)。 ほとんどの場合、コンピュータの障害が人身事故につながることはありません。 そのような失敗は、いずれにせよ、一般大衆の関心がある場合にのみ公開されます。 これは、コンピュータやソフトウェアに関連する誤動作や事故の事例が、公表されたすべての事例の中で、人身傷害を伴う割合が比較的高いことを意味します。 残念なことに、大衆のセンセーションをあまり引き起こさない事故は、典型的には大規模なプラントでのより顕著な事故とまったく同じ強度で、その原因について調査されていません。 このため、以下の例では、安全技術に関する判断を下す際に考慮すべき事項を示唆するために使用される、機械保護の分野以外のコンピュータ制御システムに典型的な故障または事故の XNUMX つの説明を参照しています。

ハードウェアの偶発的な故障による事故

次の事故は、プログラミングの失敗と組み合わされたハードウェアの偶発的な故障の集中によって引き起こされました。 この事故は、ギアボックスのオイル レベルが低すぎるという警告が出された直後に発生しました。 事故を慎重に調査したところ、触媒が反応器内で反応を開始した直後に (その結果、反応器をさらに冷却する必要があったはずです)、ギアボックス内のオイルレベルが低いという報告に基づいて、コンピューターがすべてをフリーズさせたことがわかりました。固定値でその制御下にあるマグニチュード。 これにより、冷水の流れが低すぎるレベルに保たれ、その結果、原子炉が過熱しました。 さらなる調査により、オイルレベルが低いという兆候は、故障したコンポーネントによって通知されたことが示されました。

ソフトウェアは、仕様に従って、アラームを作動させ、すべての操作変数を修正しました。 これは、イベント前に行われた HAZOP (ハザードおよび操作性分析) 研究 (Knowlton 1986) の結果であり、障害が発生した場合にすべての制御変数を変更しないことを要求していました。 プログラマーは手順の詳細を知らなかったので、この要件は、制御されるアクチュエーター (この場合は制御バルブ) を変更してはならないことを意味すると解釈されました。 温度上昇の可能性には注意が払われていませんでした。 プログラマーは、誤った信号を受信した後、システムが事故を防ぐためにコンピューターの積極的な介入を必要とするタイプの動的な状況に陥る可能性があることを考慮していませんでした。 さらに、事故につながった状況は非常にありそうもないので、HAZOP 研究 (Levenson 1986) では詳細に分析されていませんでした。 この例は、ソフトウェアとコンピューターの事故の原因の XNUMX 番目のカテゴリへの移行を示しています。 これらは、最初からシステムに存在する体系的な障害ですが、開発者が考慮していない特定の非常に特殊な状況でのみ現れます。

操作ミスによる事故

ロボットの最終検査中のフィールドテストで、ある技術者が隣のロボットのカセットを借りて、同僚に知らせずに別のロボットに置き換えました。 職場に戻ると、同僚は間違ったカセットを挿入しました。 彼はロボットの隣に立って、そこから特定の一連の動作を期待していたので — 交換されたプログラムのために異なる結果になったシーケンス — ロボットと人間の間で衝突が発生しました。 この事故は、操作上の失敗の古典的な例を示しています。 コンピュータ制御の安全メカニズムの適用がますます複雑になっているため、誤動作や事故におけるこのような故障の役割は現在増加しています。

ハードウェアまたはソフトウェアのシステム障害による事故

弾頭を備えた魚雷は、公海上の軍艦から訓練目的で発射されることになっていました。 駆動装置の欠陥により、魚雷は魚雷発射管に残っていました。 船長は、魚雷を引き揚げるために母港に戻ることにしました。 船が帰路につき始めた直後、魚雷が爆発した。 事故の分析により、魚雷の開発者は、発射された後に発射台に戻り、それを発射した船を破壊するのを防ぐように設計されたメカニズムを魚雷に組み込むことを余儀なくされたことが明らかになりました. このために選択されたメカニズムは次のとおりです。魚雷の発射後、慣性航法システムを使用して、魚雷の進路が 180° 変更されたかどうかを確認しました。 魚雷が 180 度回転したことを感知するとすぐに、魚雷は発射台から安全な距離にあると思われる場所で直ちに爆発しました。 この検出メカニズムは、魚雷が適切に発射されなかった場合に作動し、その結果、船が針路を 180° 変更した後に魚雷が爆発しました。 仕様ミスによる事故の典型例です。 魚雷が進路を変更した場合に自身の船を破壊してはならないという仕様の要件は、十分に正確に定式化されていませんでした。 したがって、予防策は誤ってプログラムされました。 エラーは、プログラマが可能性として考慮していなかった特定の状況でのみ明らかになりました。

14 年 1993 月 320 日、ルフトハンザのエアバス A 1 がワルシャワに着陸中に墜落しました (図 767)。 事故を注意深く調査した結果、1991 年のラウダ航空ボーイング 1991 の事故後に行われた搭載コンピューターの着陸ロジックの変更が、この不時着の原因の一部であることがわかりました。 XNUMX 年の事故で起こったのは、着陸時に飛行機にブレーキをかけるためにモーター ガスの一部をそらす推力偏向が、まだ空中にある間に作動し、機体を制御不能な急降下に追い込んだことでした。 このため、推力偏向の電子ロックがエアバス機に組み込まれていました。 このメカニズムにより、着陸装置の両方のセットにあるセンサーが、接地した車輪の圧力でショック アブソーバーが圧縮されたことを通知した後にのみ、推力偏向が有効になります。 誤った情報に基づいて、ワルシャワの飛行機のパイロットは強い横風を予想していました。

図 1. 1993 年のワルシャワでの事故後のルフトハンザ エアバス

このため、彼らはマシンをわずかに傾けて持ち込み、エアバスは右の車輪だけで着陸し、左のベアリングは全重量よりも軽くなりました. 推力偏向の電子ロックのために、機内のコンピューターは、不利な状況にもかかわらず飛行機が安全に着陸することを可能にするような操縦をXNUMX秒間パイロットに拒否しました. この事故は、コンピュータ システムの変更が、起こりうる結果の範囲を事前に考慮しないと、新たな危険な状況につながる可能性があることを非常に明確に示しています。

次の誤動作の例は、1.2 つのコマンドを変更するだけでコンピュータ システムに壊滅的な影響を与える可能性があることも示しています。 血液中のアルコール度数は、事前に血球を遠心分離した透明な血清を用いて化学的検査で測定します。 したがって、血清のアルコール含有量は、濃厚な全血のアルコール含有量よりも高くなります (1.2 倍)。 このため、法的および医学的に重要な 1984 分の 1.2 の数値を確立するには、血清中のアルコール値を 1.2 で割る必要があります。 1,500年に実施された共同試験では、血清を用いて異なる研究機関で実施された同一の試験で得られた血中アルコール値を相互に比較することになっていました。 それは単に比較の問題だったので、1984 で割るコマンドは、実験期間中の機関の 1985 つのプログラムから削除されました。 ラボ間テストが終了した後、この場所で誤って 1.0 を掛けるコマンドがプログラムに導入されました。 その結果、1.3 年 1.3 月から XNUMX 年 XNUMX 月までの間におよそ XNUMX 個の誤った XNUMX 分の XNUMX の値が計算されました。 この誤りは、血中アルコール濃度が XNUMX ～ XNUMX パー XNUMX のトラック運転手のプロとしてのキャリアにとって重大でした。運転免許証の長期間の没収を伴う法的な罰則は、XNUMX 分の XNUMX の値の結果であるからです。

運転ストレスや環境ストレスの影響による事故

CNC (コンピュータ数値制御) パンチングおよびニブリング マシンの有効領域での廃棄物の収集によって引き起こされた障害の結果として、ユーザーは「プログラムされた停止」を実施しました。 手でごみを取り除こうとしたところ、プログラムされた停止にもかかわらず、機械のプッシュロッドが動き出し、使用者が重傷を負った。 事故の分析により、それはプログラムのエラーの問題ではないことが明らかになりました。 予期しない起動が再現できませんでした。 同様の不規則性は、過去に同じタイプの他のマシンで観察されていました。 これらのことから、事故が電磁干渉によって引き起こされたに違いないと推測するのはもっともらしく思われる. 産業用ロボットによる同様の事故が日本から報告されている (Neumann 1987)。

2 年 18 月 1986 日のボイジャー 2 宇宙探査機の誤動作は、コンピューター制御システムに対する環境ストレスの影響をさらに明確にします。 天王星への最接近の 1987 日前に、ボイジャー XNUMX 号からの写真が白黒の線で覆われていました。正確な分析により、飛行データ サブシステムのコマンド ワードの XNUMX ビットが失敗の原因であることがわかりました。写真はプローブ内で圧縮されています。 このビットは、宇宙粒子の衝突によってプログラム メモリ内でノックアウトされた可能性が最も高いです。 プローブからの圧縮された写真のエラーのない送信は、失敗したメモリ ポイントをバイパスできる代替プログラムを使用して、わずか XNUMX 日後に実行されました (Laeser、McLaughlin、および Wolff XNUMX)。

提示された事故の概要

分析された事故は、単純な電気機械技術を使用する条件下では無視されるかもしれない特定のリスクが、コンピューターが使用されると重要になることを示しています。 コンピュータは、複雑で状況に応じた安全機能の処理を可能にします。 このため、すべての安全機能の明確でエラーのない、完全でテスト可能な仕様が特に重要になります。 仕様のエラーは発見が難しく、複雑なシステムでは事故の原因となることがよくあります。 通常、自由にプログラム可能な制御装置は、変化する市場に柔軟かつ迅速に対応できるようにするために導入されます。 ただし、特に複雑なシステムでは、変更には予測しにくい副作用があります。 したがって、すべての変更は厳密に正式な変更管理手順に従う必要があり、安全に関連しない部分システムから安全機能を明確に分離することで、安全技術に対する変更の結果を調査しやすくすることができます。

コンピュータは低レベルの電力で動作します。 そのため、外部放射線源からの干渉を受けやすくなっています。 何百万もの信号の中から単一の信号を変更すると誤動作につながる可能性があるため、コンピュータに関連する電磁両立性のテーマに特に注意を払う価値があります。

現在、コンピュータ制御システムのサービスはますます複雑になり、不明確になっています。 したがって、ユーザーおよび設定ソフトウェアのソフトウェア人間工学は、安全技術の観点からより興味深いものになっています。

100% テスト可能なコンピューター システムはありません。 32 のバイナリ入力ポートと 1,000 の異なるソフトウェア パスを備えた単純な制御メカニズムには、4.3 × 10 が必要です。¹² 完全なチェックのためのテスト。 毎秒 100 回のテストの実行と評価の速度で、完全なテストには 1,362 年かかります。

コンピュータ制御安全装置の改善のための手順と措置

過去 10 年間に、コンピューターに関連する特定の安全関連の課題を習得できる手順が開発されました。 これらの手順は、このセクションで説明されているコンピューターの障害に対応しています。 機械の安全装置におけるソフトウェアとコンピューターの例と分析された事故は、損傷の程度と、さまざまな用途に伴うリスクが非常に多様であることを示しています。 したがって、安全技術で使用されるコンピュータとソフトウェアの改善に必要な予防措置が、リスクに関連して確立されるべきであることは明らかです。

図 2 は、安全システムを使用して得られる必要なリスク低減を、損傷が発生する程度や頻度とは無関係に決定できる定性的な手順を示しています (Bell and Reinert 1992)。 「コンピュータ制御システムによる事故」(上記) のセクションで分析されたコンピュータ システムの障害の種類は、いわゆる安全度水準、つまりリスク軽減のための技術設備と関連付けることができます。

図 2. リスク決定のための定性的手順

図 3 は、どのような場合でも、ソフトウェアとコンピューターのエラーを減らすために講じられた対策の有効性は、リスクの増加に伴って大きくなる必要があることを明らかにしています (DIN 1994; IEC 1993)。

図 3、リスクとは無関係にエラーに対して講じられた予防措置の有効性

上記の事故の分析は、コンピューター制御のセーフガードの失敗が、ランダムなコンポーネントの故障だけでなく、プログラマーが考慮に入れなかった特定の動作条件によっても引き起こされることを示しています。 システム メンテナンスの過程で行われたプログラムの変更のすぐには明らかではない結果は、さらなるエラーの原因となります。 したがって、マイクロプロセッサによって制御される安全システムには障害が発生する可能性があり、システムの開発中に発生したとしても、動作中にのみ危険な状況につながる可能性があります。 したがって、安全関連システムの開発段階では、このような障害に対する予防措置を講じる必要があります。 これらのいわゆる失敗回避策は、構想段階だけでなく、開発、インストール、および変更の過程でも実行する必要があります。 このプロセス中に特定の障害が発見され、修正された場合、特定の障害を回避できます (DIN 1990)。

最後の事故で明らかになったように、単一のトランジスタの故障は、非常に複雑な自動化された機器の技術的な故障につながる可能性があります。 個々の回路は何千ものトランジスタやその他のコンポーネントで構成されているため、動作中のターンアップなどの障害を認識し、コンピューター システムで適切な反応を開始するために、多数の障害回避手段を講じる必要があります。 図 4 は、プログラム可能な電子システムの障害の種類と、コンピュータ システムの障害を回避および制御するために取られる予防措置の例を示しています (DIN 1990; IEC 1992)。

図 4. コンピューター・システムのエラーを制御および回避するための予防措置の例

安全技術におけるプログラマブル電子システムの可能性と展望

最新の機械とプラントはますます複雑になり、これまで以上に包括的なタスクをより短い期間で達成する必要があります。 このため、1970 年代半ば以降、コンピューター システムは産業のほぼすべての分野を席巻してきました。 この複雑さの増加だけでも、そのようなシステムの安全技術の向上に伴うコストの上昇に大きく貢献しています。 ソフトウェアとコンピューターは、職場の安全性に大きな課題をもたらしますが、安全技術の分野でエラーを起こしにくい新しいシステムを実装することも可能にします。

Ernst Jandl による、くだらないが有益な詩は、この概念が何を意味するかを説明するのに役立ちます エラーに強い. 「Lichtung: Manche meinen lechts und rinks kann man nicht velwechsern, werch ein Illtum」. （「ディレクション：多くの人が光を信じており、reftは知性を変えることができない、なんてうらやましい」。） 手紙の交換にもかかわらず r & l、このフレーズは、普通の大人なら簡単に理解できます。 英語が苦手な人でも英語に翻訳できます。 ただし、このタスクは、翻訳するコンピューターだけではほとんど不可能です。

この例は、人間が言語コンピューターよりもはるかにエラーに優しい方法で反応できることを示しています。 これは、人間が他のすべての生き物と同様に、経験を参照することで失敗を許容できることを意味します。 現在使用されている機械を見ると、大部分の機械が、ユーザーの障害を事故ではなく、生産の減少という形で罰していることがわかります。 この特性は、セーフガードの操作または回避につながります。 最新のコンピューター技術により、システムは作業の安全性を自由に利用できるようになり、インテリジェントに、つまり変更された方法で反応できるようになります。 したがって、このようなシステムは、新しいマシンでエラーに優しい動作モードを可能にします。 誤った操作が行われている間は、まずユーザーに警告し、それが事故を回避する唯一の方法である場合にのみ、機械を停止します。 事故の分析は、この分野に事故を減らす大きな可能性があることを示しています (Reinert and Reuss 1991)。

戻る

ハイブリッド自動化システム (HAS) は、人工知能機械 (コンピューター技術に基づく) の機能を、作業活動の過程でこれらの機械と対話する人々の能力と統合することを目的としています。 HAS の利用に関する主な関心事は、ハイブリッド システムの両方の部分の知識とスキルを最大限に活用するために、人間と機械のサブシステムをどのように設計する必要があるか、および人間のオペレーターと機械のコンポーネントがどのように相互作用する必要があるかに関連しています。それらの機能が互いに補完し合うことを保証します。 多くの場合、複雑な技術システムのさまざまな機能を自動化および統合するために、最新の情報および制御ベースの方法論を適用した製品として、多くのハイブリッド自動化システムが進化してきました。 HAS は、当初、原子炉、化学処理プラント、個別部品製造技術のリアルタイム制御システムの設計と運用に使用されるコンピューターベースのシステムの導入で識別されました。 HAS は現在、航空交通管制や民間航空分野の航空機ナビゲーション手順、道路輸送におけるインテリジェントな車両および高速道路ナビゲーション システムの設計と使用など、多くのサービス産業でも見られます。

コンピューターベースの自動化の継続的な進歩に伴い、現代の技術システムにおける人間のタスクの性質は、知覚運動スキルを必要とするものから、問題解決、システム監視における意思決定、および監視制御タスク。 たとえば、コンピューター統合製造システムの人間のオペレーターは、主にシステム モニター、問題解決者、および意思決定者としての役割を果たします。 HAS 環境における人間の監督者の認知活動は、(1) 一定期間に何をすべきかを計画する、(2) 一連の計画された目標を達成するための手順 (またはステップ) を考案する、(3) 進行状況を監視する、です。 （技術的）プロセスの、（4）人間と対話するコンピューターを通じてシステムを「教える」、（5）システムが異常に動作する場合、または制御の優先順位が変更された場合に介入する、（6）システムからのフィードバックを通じて、その影響について学習する監督措置 (Sheridan 1987)。

ハイブリッド システム設計

HAS における人間と機械の相互作用には、人間のオペレーターとインテリジェント マシン間の動的通信ループの利用が含まれます。人間と機械。 少なくとも、人間と自動化の間の相互作用は、ハイブリッド自動化システムの高度な複雑さ、および人間のオペレーターの関連する特性とタスク要件を反映する必要があります。 したがって、ハイブリッド自動化システムは、次の式の XNUMX 倍として正式に定義できます。

持っている = (T、U、C、E、I)

コラボレー T = タスク要件 (身体的および認知的); U = ユーザーの特性 (身体的および認知的); C = 自動化の特性 (コンピューター インターフェイスを含むハードウェアとソフトウェア); E = システムの環境; I = 上記の要素間の一連の相互作用。

相互作用のセット I 間のすべての可能な相互作用を具現化します T, U & C in E それらの性質や関連の強さに関係なく。 例えば、可能性のある対話の XNUMX つは、コンピュータのメモリに格納されたデータと、人間のオペレータの対応する知識 (もしあれば) との関係を含む可能性があります。 相互作用 I 基本的なもの (つまり、XNUMX 対 XNUMX の関連付けに限定されたもの) の場合もあれば、人間のオペレーター、目的のタスクを達成するために使用される特定のソフトウェア、およびコンピューターとの利用可能な物理インターフェイスとの間の相互作用を含むような複雑な場合もあります。

多くのハイブリッド自動化システムの設計者は、コンピューターベースのテクノロジーの一部として、高度な機械やその他の機器のコンピューター支援による統合に主に焦点を当てており、そのようなシステム内での効果的な人間の統合の最優先事項にはほとんど注意を払っていません。 したがって、現在のところ、コンピュータ統合（技術）システムの多くは、これらのシステムの効果的な制御と監視に必要なスキルと知識によって表される人間のオペレータの固有の能力と完全には互換性がありません。 このような非互換性は、人間、機械、および人間と機械の機能のすべてのレベルで発生し、個人および組織または施設全体の枠組みの中で定義できます。 たとえば、高度な製造企業における人と技術の統合の問題は、HAS 設計段階の早い段階で発生します。 これらの問題は、相互作用の複雑さに関する次のシステム統合モデルを使用して概念化できます。 I、システム設計者の間で、 D、人間のオペレーター、 H、または潜在的なシステム ユーザーとテクノロジー、 T:

私 (H, T) = F [ 私 (H, D), 私 (D, T)]

コラボレー I 特定の HAS の構造で発生する関連する相互作用を表します。 F 設計者、人間のオペレーター、およびテクノロジーの間の機能的な関係を示します。

上記のシステム統合モデルは、ユーザーとテクノロジー間の相互作用が、以前の 1 つの相互作用の統合の結果によって決定されるという事実を強調しています。 HASテクノロジー（機械とその統合のレベル）。 通常、設計者と技術の間には強い相互作用が存在しますが、設計者と人間のオペレーターの間に同等に強い相互関係が見られる例はごくわずかです。

最も自動化されたシステムであっても、運用レベルでのシステム パフォーマンスを成功させるには、人間の役割が依然として重要であると言えます。 Bainbridge (1983) は、自動化自体の性質に起因する HAS の操作に関連する一連の問題を次のように特定しました。

1. オペレーターは「制御ループの外」にいます。 人間のオペレーターは、必要に応じて制御を実行するためにシステムに存在しますが、「制御ループの外」にいることで、緊急時にしばしば必要とされる手作業のスキルと長期的なシステム知識を維持できません。
2. 時代遅れの「心象図」。 人間のオペレーターは、操作のイベントを綿密に追跡していない場合、システムの動作の変化に迅速に対応できない場合があります。 さらに、必要な対応を開始または実行するには、システムの機能に関するオペレータの知識またはイメージが不十分である可能性があります。
3. 消える世代のスキル。 新しいオペレーターは、経験を通じて得られたコンピューター化されたシステムに関する十分な知識を習得できない可能性があり、したがって、必要なときに効果的な制御を行うことができません。
4. オートマチックの権威。 必要なタスクを人間のオペレーターよりもうまく実行できるという理由でコンピューター化されたシステムが実装されている場合、「オペレーターは、自動化されたシステムによって正しいまたは誤った決定が行われていることをどのような基準で判断すべきか?」という疑問が生じます。
5. 自動化による新たな「ヒューマンエラー」の出現。 自動化されたシステムは新しいタイプのエラーを引き起こし、その結果、従来の分析技術の枠内では分析できない事故が発生します。

タスクの割り当て

HAS 設計の重要な問題の 1 つは、人間のオペレーターに割り当てられる機能または責任の数と、コンピューターに割り当てられる機能または責任の数を決定することです。 一般に、考慮すべきタスク割り当ての問題には 2 つの基本的なクラスがあります。(3) 人間のスーパーバイザーとコンピューターのタスク割り当て、(XNUMX) 人間と人間のタスクの割り当て、(XNUMX) 監視コンピューターとコンピューターのタスクの割り当てです。 理想的には、基本的なシステム設計を開始する前に、構造化された割り当て手順を通じて割り当ての決定を行う必要があります。 残念ながら、このような体系的なプロセスはめったに不可能です。なぜなら、割り当てられる機能は、さらに検討する必要があるか、人間と機械のシステム コンポーネント間で対話的に実行する必要があるためです。つまり、監視制御パラダイムの適用を通じて実行されます。 ハイブリッド自動システムにおけるタスクの割り当ては、人間とコンピューターの監督責任の範囲に焦点を当て、人間のオペレーターとコンピューター化された意思決定支援システムとの間の相互作用の性質を考慮する必要があります。 機械と人間の入出力インターフェース間の情報伝達の手段、およびソフトウェアと人間の認知的問題解決能力との互換性も考慮する必要があります。

ハイブリッド自動化システムの設計と管理に対する従来のアプローチでは、ワーカーは決定論的な入出力システムと見なされ、人間の行動の目的論的性質、つまり、目標指向の行動の獲得に依存することを無視する傾向がありました。関連情報と目標の選択 (Goodstein et al. 1988)。 成功するためには、高度なハイブリッド自動システムの設計と管理は、特定のタスクに必要な人間の精神機能の説明に基づいている必要があります。 「認知工学」アプローチ (以下でさらに説明) は、人間と機械の (ハイブリッド) システムは、人間の精神プロセスの観点から考え、設計し、分析し、評価する必要があることを提案しています (つまり、適応システムのオペレーターの精神モデルが取り込まれます)。アカウント）。 以下は、Corbett (1988) によって策定された、HAS の設計と運用に対する人間中心のアプローチの要件です。

1. 互換性. システムの操作には、既存のスキルと無関係なスキルは必要ありませんが、既存のスキルを進化させる必要があります。 人間のオペレータは、インタフェースがユーザの以前の知識とスキルに適合するように、従来の慣行と互換性のある情報を入力および受信する必要があります。
2. 透明性. システムを理解せずに制御することはできません。 したがって、学習を促進するには、人間のオペレータがシステムの制御ソフトウェアの内部プロセスを「見る」ことができなければなりません。 透過的なシステムにより、ユーザーは、システムが実行できる意思決定および制御機能の内部モデルを簡単に構築できます。
3. 最小限の衝撃. システムは、システムの現在の状態を詳述する、利用可能な情報に照らして、オペレーターが予期しないと判断したことを実行すべきではありません。
4. 妨害制御. 不確実なタスク (選択構造分析によって定義される) は、コンピューターの意思決定をサポートする人間のオペレーターの制御下にある必要があります。
5. 誤りやすさ. 人間のオペレーターの暗黙のスキルと知識は、システムの外に設計されるべきではありません。 オペレーターは、ソフトウェアが誤った操作を指示するのを無力に見守るような立場に置かれてはなりません。
6. エラー可逆性. ソフトウェアは、特定の操作または戦略の予想される結果を人間のオペレーターに知らせるために、十分な情報のフィードフォワードを提供する必要があります。
7. 操作の柔軟性. システムは、制御ソフトウェアのサポートを失うことなく、操作戦略を変更することで、人間のオペレーターに要件とリソース制限をトレードオフする自由を提供する必要があります。

認知ヒューマンファクター工学

認知的ヒューマン ファクター エンジニアリングは、人間のオペレーターが職場で意思決定を行い、問題を解決し、計画を策定し、新しいスキルを習得する方法に焦点を当てています (Hollnagel and Woods 1983)。 任意の HAS で機能する人間のオペレーターの役割は、Rasmussen のスキーム (1983) を使用して XNUMX つの主要なカテゴリに分類できます。

1. スキルベースの行動 スムーズで自動化された高度に統合された行動パターンとして、意識的な制御なしに行われる行為または活動中に実行される感覚運動パフォーマンスです。 このカテゴリに分類される人間の活動は、特定の状況のた​​めに構成された一連の熟練した行為であると見なされます。 したがって、スキルベースの行動は、多かれ少なかれ保存された行動パターンまたは時空間ドメインでの事前にプログラムされた指示の表現です。
2. ルールベースの動作 格納されたルールまたは手順によるフィードフォワード制御によって構築されたパフォーマンスの目標指向のカテゴリです。つまり、慣れ親しんだ作業状況で一連のサブルーチンを構成できる順序付けられたパフォーマンスです。 ルールは通常、以前の経験から選択され、環境の動作を制約する機能特性を反映しています。 ルールベースのパフォーマンスは、関連するルールの採用に関する明確なノウハウに基づいています。 意思決定データ セットは、状態、イベント、または状況の認識と識別のための参照で構成されます。
3. 知識に基づく行動 環境の知識と個人の目的に基づいて目標が明確に定式化される、目標制御パフォーマンスのカテゴリです。 システムの内部構造は「メンタルモデル」で表されます。 この種の行動は、なじみのない、したがって不確実な制御条件下でのさまざまな計画の開発とテストを可能にし、スキルやルールが利用できないか不十分であり、代わりに問題解決と計画が求められる必要がある場合に必要です。

HAS の設計と管理では、その機能を説明するワーカーの内部モデルとシステム操作の互換性を確保するために、ワーカーの認知特性を考慮する必要があります。 その結果、システムの記述レベルは、人間の機能のスキルベースからルールベースおよび知識ベースの側面に移行する必要があり、認知タスク分析の適切な方法を使用して、システムのオペレーターのモデルを識別する必要があります。 HAS の開発における関連する問題は、人間のオペレーターと自動化されたシステム コンポーネントとの間の、物理レベルと認知レベルの両方での情報伝達手段の設計です。 このような情報転送は、システム操作のさまざまなレベルで利用される情報のモード、つまり、視覚、口頭、触覚、またはハイブリッドと互換性がある必要があります。 この情報の互換性により、さまざまな形式の情報転送で、媒体と情報の性質との間の非互換性が最小限に抑えられます。 たとえば、視覚的表示は空間情報の伝達に最適ですが、聴覚入力はテキスト情報の伝達に使用できます。

多くの場合、人間のオペレーターは、特定の種類のヒューマンマシン インターフェイスに関連する経験、トレーニング、および指示に従って、システムの動作と機能を記述する内部モデルを開発します。 この現実に照らして、HAS の設計者は、機械 (または他の人工システム) に、人間のオペレーターの身体的および認知的特性のモデル、つまりシステムのオペレーターのイメージを組み込むことを試みる必要があります (Hollnagel and Woods 1983)。 . HAS の設計者は、システム記述における抽象化のレベルと、人間のオペレーターの行動に関連するさまざまなカテゴリも考慮する必要があります。 作業環境における人間の機能をモデル化するためのこれらの抽象化レベルは次のとおりです (Rasmussen 1983): (1) 物理的形態 (解剖学的構造)、(2) 身体機能 (生理学的機能)、(3) 一般化された機能 (心理的メカニズムおよび認知機能) (4) 抽象的機能 (情報処理) および (5) 機能的目的 (価値構造、神話、宗教、人間の相互作用)。 これらの XNUMX つのレベルは、効果的な HAS パフォーマンスを確保するために、設計者が同時に考慮する必要があります。

システム ソフトウェア設計

コンピュータ ソフトウェアはあらゆる HAS 環境の主要コンポーネントであるため、設計、テスト、操作、変更を含むソフトウェア開発、およびソフトウェアの信頼性の問題も、HAS 開発の初期段階で考慮する必要があります。 これにより、ソフトウェア エラーの検出と除去のコストを削減できるはずです。 ただし、人間の作業パフォーマンス、関連する作業負荷、および潜在的なエラーをモデル化する能力には限界があるため、HAS の人的コンポーネントの信頼性を推定することは困難です。 過度または不十分な精神的負荷は、それぞれ情報過多と退屈につながり、人間のパフォーマンスを低下させ、エラーや事故の可能性を高める可能性があります。 HAS の設計者は、これらの問題を解決するために、人工知能技術を利用する適応型インターフェースを採用する必要があります。 人間と機械の互換性に加えて、人間の能力を超える可能性がある場合に生じるストレス レベルを軽減するために、人間と機械の相互の適応性の問題を考慮する必要があります。

多くのハイブリッド自動化システムは非常に複雑であるため、これらのシステムのハードウェア、ソフトウェア、操作手順、および人間と機械の相互作用に関連する潜在的な危険を特定することは、怪我や機器の損傷を減らすことを目的とした取り組みの成功にとって重要になります。 . コンピュータ統合製造技術 (CIM) などの複雑なハイブリッド自動化システムに関連する安全と健康上の危険は、システムの設計と運用の最も重要な側面の XNUMX つであることは明らかです。

システムの安全性の問題

ハイブリッド自動化環境では、システム障害条件下で制御ソフトウェアが不安定な動作をする可能性が非常に高いため、新世代の事故リスクが生じます。 ハイブリッド自動化システムがより用途が広く複雑になるにつれて、起動およびシャットダウンの問題やシステム制御の逸脱などのシステム障害により、人間のオペレーターに対する深刻な危険の可能性が大幅に増加する可能性があります。 皮肉なことに、多くの異常な状況では、オペレーターは通常、自動化された安全サブシステムの適切な機能に頼っていますが、これは重傷のリスクを高める可能性があります。 たとえば、技術制御システムの誤動作に関連する事故の研究では、事故シーケンスの約 XNUMX 分の XNUMX に、妨害されたシステムの制御ループへの人間の介入が含まれていることが示されました。

従来の安全対策は、HAS 環境のニーズに簡単に適応させることはできないため、これらのシステムの固有の特性を考慮して、負傷管理と事故防止戦略を再検討する必要があります。 たとえば、高度な製造技術の分野では、多くのプロセスは、人間のオペレーターが容易に予測できないかなりの量のエネルギーの流れが存在することを特徴としています。 さらに、安全上の問題は通常、サブシステム間のインターフェイスで発生するか、システム障害が 1991 つのサブシステムから別のサブシステムに進行するときに発生します。 国際標準化機構 (ISO 45) によると、産業オートメーションに起因する危険に関連するリスクは、特定の製造システムに組み込まれた産業機械の種類と、システムの設置、プログラム、操作、保守の方法によって異なります。そして修理。 たとえば、スウェーデンでのロボット関連の事故を他のタイプの事故と比較すると、ロボットは高度な製造業で使用される最も危険な産業機械である可能性があることが示されました。 産業用ロボットの推定事故率は、50 ロボット年あたり 23 件の重大事故であり、1980 機械年あたり 1985 件の事故であると報告されている産業用プレスの事故率よりも高くなっています。 ここで注目すべきは、XNUMX 年から XNUMX 年にかけて、米国の産業用プレスが金属加工機械関連の全死亡者数の約 XNUMX% を占めており、致命的ではない怪我の重症度頻度の積に関しては動力プレスが第 XNUMX 位にランクされていることです。

高度な製造技術の領域では、人間のオペレータの視野外で作業者が複雑に位置を変えるため、作業者にとって危険な可動部品が多数あります。 コンピューター統合製造における急速な技術開発により、高度な製造技術が労働者に及ぼす影響を研究する必要性が非常に高まっています。 このような HAS 環境のさまざまな要素によって引き起こされる危険を特定するには、過去の事故を注意深く分析する必要があります。 残念ながら、ロボットの使用に関連する事故は、人間が操作する機械に関連する事故の報告から切り分けるのが難しいため、記録されていない事故の割合が高い可能性があります。 日本の労働安全衛生規則では、「産業用ロボットは現在、信頼できる安全手段を備えておらず、その使用を規制しない限り、労働者を保護することはできない」と述べています。 例えば、日本の労働省が実施した産業用ロボットに関連する事故の調査結果 (杉本 1987) は、調査対象の 190 の工場 (4,341 台の作業用ロボット) で 300 件のロボット関連の障害があり、そのうち 37 件が安全でない行為の一部が危うい事故につながり、9 件が人身事故、2 件が死亡事故でした。 他の研究の結果は、コンピュータソフトウェアの安全機能だけではシステムハードウェアをフェールセーフにすることはできず、システムコントローラの信頼性が常に高いとは限らないため、コンピュータベースの自動化が必ずしも全体的な安全レベルを向上させるとは限らないことを示しています。 さらに、複雑な HAS では、危険な状態を検出し、適切な危険回避戦略を実行するために、安全センシング デバイスだけに依存することはできません。

人間の健康に対する自動化の影響

前述のように、多くの HAS 環境における作業者の活動は、基本的に監視制御、監視、システム サポート、および保守です。 これらのアクティビティは、次の 1 つの基本グループに分類することもできます。(2) プログラミング タスク、つまり、機械の操作をガイドおよび指示する情報のエンコード、(3) HAS の生産および制御コンポーネントの監視、(4) 防止のための HAS コンポーネントのメンテナンスHAS が労働者の幸福に与える影響に関する最近の多くのレビューでは、製造エリアで HAS を利用することで、重くて危険な作業を排除できる可能性があると結論付けられています。 、HAS環境での作業は、労働者にとって不満であり、ストレスになる可能性があります. ストレスの原因には、多くの HAS アプリケーションで必要とされる常時監視、割り当てられた活動の範囲の制限、システム設計によって許容される作業者の相互作用のレベルの低さ、および機器の予測不可能で制御不能な性質に関連する安全上の危険が含まれます。 プログラミングや保守活動に携わる一部の労働者は、自分たちの幸福にプラスの影響を与える可能性のある挑戦の要素を感じていますが、これらの影響は、これらの活動の複雑で要求の厳しい性質やプレッシャーによって相殺されることがよくあります。これらの活動を迅速に完了するために管理者によって行使されます。

一部の HAS 環境では、人間のオペレーターは、通常の動作状態では従来のエネルギー源 (作業の流れと機械の動き) から切り離されていますが、自動化されたシステムの多くのタスクは、他のエネルギー源と直接接触して実行する必要があります。 さまざまな HAS コンポーネントの数が増え続けているため、特に作業員がもはや作業についていけなくなっているという事実を考慮して、作業員の快適性と安全性、および効果的な怪我防止対策の開発に特に重点を置く必要があります。そのようなシステムの精巧さと複雑さ。

コンピューター統合製造システムにおける負傷管理と作業員の安全に対する現在のニーズを満たすために、産業オートメーション システムに関する ISO 委員会は、「統合製造システムの安全性」(1991 年) というタイトルの新しい安全規格を提案しました。 この新しい国際規格は、産業用機械および関連機器を組み込んだ統合製造システムに存在する特定の危険性を認識して開発されたもので、統合製造システムで作業中またはそれに隣接している間に人員が負傷する可能性を最小限に抑えることを目的としています。 この規格によって特定された CIM の人間のオペレーターに対する潜在的な危険の主な原因を図 1 に示します。

図 1. コンピューター統合製造 (CIM) における主な危険源 (ISO 1991 以降)

ヒューマンエラーとシステムエラー

一般に、HAS 内の危険は、システム自体、物理環境に存在する他の機器との関連、または人間とシステムとの相互作用から発生する可能性があります。 事故は、危険な状況下で発生する可能性がある人間と機械の相互作用のいくつかの結果の 1992 つにすぎません。 ニアアクシデントと損害インシデントは、はるかに一般的です (Zimolong and Duda 1)。 エラーが発生すると、次のいずれかの結果が生じる可能性があります。(2) エラーに気付かないままになる、(3) システムがエラーを補正できる、(4) エラーが機械の故障やシステム停止につながる、または (XNUMX) ) 誤りが事故につながります。

重大なインシデントにつながるすべての人的エラーが実際の事故を引き起こすわけではないため、次のように結果のカテゴリをさらに区別することが適切です。 (1) 事故 (すなわち、けが、損傷、または損失をもたらす危険な事象) (2) 損傷事故 (すなわち、ある種の物的損害のみをもたらす危険な事象) (3)ニアアクシデントまたは「ニアミス」（つまり、けが、損傷、または損失が偶然にわずかな差で回避された危険なイベント）および（4）潜在的な事故の存在（つまり、けが、破損につながる可能性のある危険なイベント） 、または紛失の可能性がありますが、状況により、近い事故にも至りませんでした)。

HAS におけるヒューマン エラーの XNUMX つの基本的なタイプを区別できます。

1. スキルベースのスリップとラプス
2. ルールベースのミス
3. 知識ベースの間違い。

Reason (1990) によって考案されたこの分類法は、上記の人間のパフォーマンスに関する Rasmussen のスキル-ルール-知識分類の修正に基づいています。 スキルベースのレベルでは、人間のパフォーマンスは、時空間ドメインのアナログ構造として表される、事前にプログラムされた命令の格納されたパターンによって管理されます。 ルールベースのレベルは、ソリューションが格納されたルール (必要に応じてアクセスまたは生成されるため、「プロダクション」と呼ばれる) によって管理される、よく知られた問題に取り組むのに適用できます。 これらのルールでは、適切な対応を必要とする特定の状況が発生した場合に、特定の診断 (または判断) を行うか、特定の是正措置を講じる必要があります。 このレベルでは、ヒューマンエラーは通常、状況の誤分類に関連しており、間違ったルールの適用や、結果として生じる判断や手順の誤った想起につながります。 知識ベースのエラーは、意識的な分析プロセスと保存された知識を使用して、「オンライン」で (特定の瞬間に) アクションを計画する必要がある新しい状況で発生します。 このレベルのエラーは、リソースの制限と不完全または不正確な知識から発生します。

Reason (1990) によって提案された一般的なエラー モデリング システム (GEMS) は、基本的なヒューマン エラー タイプの起源を突き止めようとするもので、HAS における人間の行動の全体的な分類法を導き出すために使用できます。 GEMS は、エラー研究の 1 つの異なる領域を統合しようとしています。(2) 実行の失敗および/またはストレージの失敗によりアクションが現在の意図から逸脱するスリップと失効、および (XNUMX) アクションが計画どおりに実行される可能性があるミス。しかし、その計画は望ましい結果を達成するには不十分です。

CIM におけるリスク評価と予防

ISO (1991) によると、CIM におけるリスク評価は、すべてのリスクを最小限に抑え、安全な作業環境を作成し、安全な作業環境を確保するためのプログラムまたは計画の開発における安全目標と対策を決定するための基礎として役立つように実行する必要があります。職員の安全と健康も。 たとえば、製造ベースの HAS 環境における作業上の危険は、次のように特徴付けることができます。 (1) 作業が単調であり、(2) コンピュータ統合製造システム内で発生する事故はしばしば重大です。 特定された各ハザードは、そのリスクを評価する必要があり、そのリスクを最小限に抑えるために適切な安全対策を決定して実施する必要があります。 ハザードは、特定のプロセスの次の側面すべてに関しても確認する必要があります。 単一ユニット間の相互作用; システムの操作セクション。 プログラミング、検証、トラブルシューティング、メンテナンス、または修理などの操作のために通常の保護手段が一時停止される条件を含む、意図されたすべての動作モードおよび条件での完全なシステムの動作。

ISO (1991) の CIM の安全戦略の設計段階には、次のものが含まれます。

• システムパラメータの制限の仕様
• 安全戦略の適用
• ハザードの識別
• 関連するリスクの評価
• ハザードの除去またはリスクの軽減を実行可能な限り行う。

システムの安全仕様には、次のものが含まれている必要があります。

• システム機能の説明
• システムのレイアウトおよび/またはモデル
• さまざまな作業プロセスと手作業の相互作用を調査するために実施された調査の結果
• 手動操作を含むプロセス シーケンスの分析
• コンベアまたは輸送ラインとのインターフェースの説明
• プロセス フローチャート
• 基礎計画
• 供給・廃棄装置の計画
• 材料の供給と廃棄に必要なスペースの決定
• 利用可能な事故記録。

ISO (1991) に従って、体系的な安全計画手順の設計において、安全な CIM システム操作を確保するために必要なすべての要件を考慮する必要があります。 これには、危険を効果的に軽減するためのすべての保護対策が含まれ、以下が必要です。

• ヒューマンマシンインターフェースの統合
• システムに取り組んでいる人々の位置（時間と空間における）の早期定義
• 孤立作業の削減方法を早期に検討
• 環境面への配慮。

安全計画手順では、とりわけ、CIM の次の安全問題に対処する必要があります。

• システムの動作モードの選択. 制御装置は、少なくとも次の動作モードを備えている必要があります。どのシステムまたはリモートの手動による危険な状況の開始が防止されているか (たとえば、ローカル操作の場合、または危険な状況への電源の分離または機械的な遮断の場合)。
• トレーニング、設置、試運転、および機能テスト. 要員が危険ゾーンにいる必要がある場合は、制御システムに次の安全対策を講じる必要があります。 ) 可動非常停止。
• システムのプログラミング、メンテナンス、修理における安全性. プログラミング中は、プログラマーだけが保護された空間に立ち入ることができます。 システムは、システムの意図した運用を確実に継続するために、検査および保守手順を整備する必要があります。 検査および保守プログラムでは、システムの供給者の推奨事項と、システムのさまざまな要素の供給者の推奨事項を考慮に入れる必要があります。 システムのメンテナンスや修理を行う担当者は、必要なタスクを実行するために必要な手順についてトレーニングを受ける必要があることは言うまでもありません。
• 障害の除去. 保護されたスペース内から障害を除去する必要がある場合は、安全な切断後に (または、可能であれば、ロックアウト メカニズムが作動した後に) 実行する必要があります。 危険な状況の誤った開始に対する追加の対策を講じる必要があります。 システムのセクションまたは隣接するシステムまたは機械の機械で障害を除去する際に危険が発生する可能性がある場合、これらも動作を停止し、予期しない起動から保護する必要があります。 指示および警告標識を使用して、完全には観察できないシステム コンポーネントの障害の除去に注意を払う必要があります。

システム障害制御

コンピューター統合製造エリアで使用される多くの HAS 設備では、通常、制御、プログラミング、保守、事前設定、サービス、またはトラブルシューティングのタスクのために人間のオペレーターが必要です。 システムに障害が発生すると、作業者が危険区域に入る必要が生じる状況が発生します。 この点で、CIM における人間の干渉の最も重要な理由は依然として妨害であると考えられます。これは、システムが制限区域の外からプログラムされることが多いためです。 ほとんどのリスクはシステムのトラブルシューティング段階で発生するため、CIM の安全性に関する最も重要な問題の XNUMX つは、妨害を防止することです。 障害の回避は、安全性と費用対効果の両方に関して共通の目的です。

CIM システムの障害とは、システムの状態または機能が、計画された状態または望ましい状態から逸脱することです。 生産性に加えて、CIM の操作中の障害は、システムの操作に関与する人々の安全に直接影響します。 フィンランドの研究 (Kuivanen 1990) は、自動製造における障害の約半分が労働者の安全を低下させることを示しました。 障害の主な原因は、システム設計のエラー (34%)、システム コンポーネントの障害 (31%)、人的エラー (20%)、および外部要因 (15%) でした。 機械の故障の多くは制御系が原因であり、制御系ではセンサー系の故障が最も多かった。 CIM 設備の安全レベルを高める効果的な方法は、障害の数を減らすことです。 障害のあるシステムでの人間の行動は、HAS 環境での事故の発生を防ぎますが、事故の原因にもなります。 たとえば、技術制御システムの誤動作に関連する事故の研究では、事故シーケンスの約 XNUMX 分の XNUMX に、妨害されたシステムの制御ループへの人間の介入が含まれていることが示されました。

CIM 障害防止に関する主な研究課題は、(1) 障害の主な原因、(2) 信頼性の低いコンポーネントと機能、(3) 安全性に対する障害の影響、(4) システムの機能に対する障害の影響、( 5) 物的損害および (6) 修理。 HAS の安全性は、技術、人、および組織を十分に考慮して、システム設計段階の早い段階で計画し、HAS 技術計画プロセス全体の不可欠な部分にする必要があります。

HAS デザイン: 今後の課題

前述のハイブリッド自動化システムの利点を最大限に引き出すには、人、組織、技術の統合に基づく、より広いシステム開発のビジョンが必要です。 ここでは、主に XNUMX つのタイプのシステム統合を適用する必要があります。

1. 人々の統合、それらの間の効果的なコミュニケーションを保証することによって
2. 人間とコンピューターの統合、適切なインターフェイスと人とコンピューター間の相互作用を設計することによって
3. 技術統合、マシン間の効果的なインターフェースと相互作用を保証することによって。

ハイブリッド自動化システムの最小設計要件には、(1) 柔軟性、(2) 動的適応、(3) 応答性の向上、および (4) 人々に動機を与え、スキル、判断、および経験をより有効に活用する必要性を含める必要があります。 . 上記では、システムのあらゆるレベルの人々がさまざまなシステム制御状況に作業戦略を適応できるように、HAS の組織構造、作業慣行、および技術を開発することも必要です。 したがって、HAS の組織、作業慣行、および技術は、オープン システムとして設計および開発する必要があります (Kidd 1994)。

オープン ハイブリッド自動化システム (OHAS) は、その環境から入力を受け取り、その環境に出力を送信するシステムです。 オープン システムの考え方は、システム アーキテクチャや組織構造だけでなく、作業慣行、ヒューマン コンピュータ インターフェース、人とテクノロジーの関係にも適用できます。たとえば、スケジューリング システム、制御システム、意思決定支援システム。 オープン システムは、人々がシステムの操作モードを自由に定義できる場合にも適応型です。 たとえば、高度な製造の分野では、オープン ハイブリッド自動化システムの要件は、次の概念を通じて実現できます。 人間とコンピューターが統合した製造業 (HCIM)。 この観点から、テクノロジーの設計は、以下を含む全体的な HCIM システム アーキテクチャに対処する必要があります。(1) グループのネットワークに関する考慮事項、(2) 各グループの構造、(3) グループ間の相互作用、(4)サポートするソフトウェアの性質、および (5) サポートするソフトウェア モジュール間の技術的なコミュニケーションと統合の必要性。

クローズドシステムとは対照的に、適応型ハイブリッド自動システムは、人間のオペレーターができることを制限しません。 HAS の設計者の役割は、ユーザーの個人的な好みを満たし、ユーザーが最も適切と考える方法で作業できるようにするシステムを作成することです。 ユーザー入力を許可するための前提条件は、適応設計方法論の開発です。つまり、OHAS は、設計プロセスでの実装を可能にするコンピューター支援技術を可能にします。 アダプティブ デザインの方法論を開発する必要性は、実際に OHAS の概念を実現するための差し迫った要件の XNUMX つです。 新しいレベルの適応型人間監視制御技術も開発する必要があります。 このような技術により、人間のオペレーターは、他の方法では見えない HAS 機能の制御システムを「見抜く」ことができるようになるはずです。たとえば、システムの制御と操作の各ポイントでインタラクティブな高速ビデオ システムを適用することによって可能になります。 最後に、ハイブリッド自動化システムにおける人間の役割と人間の機能のインテリジェントで適応性の高いコンピューターベースのサポートを開発するための方法論も非常に必要とされています。

戻る