Desenvolvimentos gerais em microeletrônica e na tecnologia de sensores dão motivos para esperar que uma melhoria na segurança ocupacional possa ser alcançada através da disponibilidade de detectores de presença e aproximação confiáveis, resistentes, de baixa manutenção e baratos. Este artigo descreve a tecnologia de sensores, os diferentes procedimentos de detecção, as condições e restrições aplicáveis ​​ao uso de sistemas de sensores e alguns estudos concluídos e trabalhos de padronização na Alemanha.

Critérios do Detector de Presença

O desenvolvimento e teste prático de detectores de presença é um dos maiores desafios futuros para os esforços técnicos na melhoria da segurança ocupacional e para a proteção do pessoal em geral. Detectores de presença são sensores que sinalizam de forma confiável e segura o presença próxima ou aproximação de uma pessoa. Além disso, este aviso deve ocorrer rapidamente para que uma ação evasiva, frenagem ou desligamento de uma máquina estacionária possa ocorrer antes que ocorra o contato previsto. Se as pessoas são grandes ou pequenas, qualquer que seja sua postura ou como estão vestidas, não deve afetar a confiabilidade do sensor. Além disso, o sensor deve ter certeza de funcionamento e ser robusto e barato, para que possa ser utilizado nas condições mais exigentes, como em canteiros de obras e aplicações móveis, com o mínimo de manutenção. Os sensores devem ser como um airbag, pois não precisam de manutenção e estão sempre prontos. Dada a relutância de alguns usuários em manter o que consideram equipamento não essencial, os sensores podem ficar sem manutenção por anos. Outra característica dos detetores de presença, muito mais prováveis ​​de serem solicitados, é que também detetam obstáculos que não sejam seres humanos e alertam o operador a tempo de efetuar uma ação defensiva, reduzindo assim os custos de reparação e danos materiais. Esta é uma razão para instalar detectores de presença que não devem ser subestimados.

Aplicações do Detector

Inúmeros acidentes fatais e lesões graves que parecem atos individuais e inevitáveis ​​do destino podem ser evitados ou minimizados desde que os detectores de presença se tornem mais aceitos como medida preventiva no campo da segurança ocupacional. Os jornais relatam esses acidentes com muita frequência: aqui uma pessoa foi atropelada por uma carregadeira que se movia para trás, ali o operador não viu alguém que foi atropelado pela roda dianteira de uma escavadeira elétrica. Caminhões que andam para trás nas ruas, instalações da empresa e canteiros de obras são a causa de muitos acidentes com as pessoas. As empresas totalmente racionalizadas de hoje não fornecem mais co-pilotos ou outras pessoas para atuar como guias para o motorista que está dando ré em um caminhão. Esses exemplos de acidentes em movimento podem ser facilmente estendidos a outros equipamentos móveis, como empilhadeiras. No entanto, o uso de sensores é urgentemente necessário para evitar acidentes envolvendo equipamentos semi-móveis e puramente estacionários. Um exemplo são as áreas traseiras de grandes máquinas de carga, que foram identificadas pelo pessoal de segurança como áreas potencialmente perigosas que podem ser melhoradas com o uso de sensores baratos. Muitas variações de detectores de presença podem ser adaptadas de forma inovadora a outros veículos e grandes equipamentos móveis para proteção contra os tipos de acidentes discutidos neste artigo, que geralmente causam danos extensos e ferimentos graves, se não fatais.

A tendência de disseminação de soluções inovadoras parece prometer que os detectores de presença se tornarão a tecnologia de segurança padrão em outras aplicações; no entanto, este não é o caso em qualquer lugar. O avanço, motivado por acidentes e altos danos materiais, é esperado no monitoramento atrás de vans de entrega e caminhões pesados ​​e nas áreas mais inovadoras das “novas tecnologias” – as máquinas robóticas móveis do futuro.

A variação dos campos de aplicação dos detectores de presença e a variabilidade das tarefas – por exemplo, tolerar objetos (mesmo objetos em movimento, sob certas condições) que pertencem a um campo de detecção e que não devem disparar um sinal – exigem sensores nos quais “ tecnologia de avaliação inteligente” suporta os mecanismos de função do sensor. Esta tecnologia, que é um assunto para desenvolvimento futuro, pode ser elaborada a partir de métodos baseados no campo da inteligência artificial (Schreiber e Kuhn 1995). Até o momento, uma universalidade limitada restringiu severamente os usos atuais de sensores. Existem cortinas de luz; barras de luz; tapetes de contato; sensores infravermelhos passivos; detectores de movimento por ultrassom e radar que utilizam o efeito Doppler; sensores que fazem medições de tempo decorrido de ultrassom, radar e impulsos luminosos; e scanners a laser. As câmeras de televisão normais conectadas a monitores não estão incluídas nesta lista porque não são detectores de presença. No entanto, estão incluídas as câmeras que são ativadas automaticamente ao detectar a presença de uma pessoa.

Sensor Technology

Hoje, as principais questões do sensor são (1) otimizar o uso dos efeitos físicos (infravermelho, luz, ultrassom, radar, etc.) e (2) automonitoramento. Scanners a laser estão sendo intensamente desenvolvidos para uso como instrumentos de navegação para robôs móveis. Para isso, duas tarefas, em princípio parcialmente diferentes, devem ser resolvidas: a navegação do robô e a proteção das pessoas (e materiais ou equipamentos) presentes para que não sejam atingidas, atropeladas ou agarradas (Freund, Dierks e Rossman 1993 ). Os futuros robôs móveis não podem manter a mesma filosofia de segurança de “separação espacial entre robô e pessoa” que é estritamente aplicada aos robôs industriais estacionários de hoje. Isso significa colocar um alto valor no funcionamento confiável do detector de presença a ser usado.

A utilização de “novas tecnologias” está muitas vezes ligada a problemas de aceitação, podendo assumir-se que a generalização do uso de robôs móveis que se podem deslocar e agarrar, entre pessoas em fábricas, em zonas de circulação pública, ou mesmo em habitações ou zonas recreativas , só serão aceites se estiverem equipados com detectores de presença altamente desenvolvidos, sofisticados e fiáveis. Acidentes espetaculares devem ser evitados a todo custo para não agravar um possível problema de aceitação. O atual nível de gastos para o desenvolvimento deste tipo de sensores de proteção ocupacional não chega nem perto de levar em conta esta consideração. Para economizar muitos custos, os detectores de presença devem ser desenvolvidos e testados simultaneamente com os robôs móveis e os sistemas de navegação, não depois.

No que diz respeito aos veículos a motor, as questões de segurança ganharam uma importância crescente. A segurança inovadora dos passageiros em automóveis inclui cintos de segurança de três pontos, cadeiras infantis, airbags e o sistema de freio antitravamento verificado por testes de colisão em série. Essas medidas de segurança representam uma parcela relativamente crescente dos custos de produção. Os sistemas de airbag lateral e sensor de radar para medir a distância ao carro à frente são desenvolvimentos evolutivos na proteção dos passageiros.

A segurança externa do veículo motorizado – ou seja, a proteção de terceiros – está recebendo maior atenção. Recentemente, a proteção lateral foi exigida, principalmente para caminhões, para evitar que motociclistas, ciclistas e pedestres corram o risco de cair sob as rodas traseiras. Um próximo passo lógico seria monitorar a área atrás de veículos grandes com detectores de presença e instalar equipamentos de alerta na área traseira. Isso teria o efeito colateral positivo de fornecer o financiamento necessário para desenvolver, testar e disponibilizar sensores baratos de desempenho máximo, automonitoramento, livres de manutenção e funcionamento confiável para fins de segurança ocupacional. O processo de teste que acompanharia a ampla implementação de sensores ou sistemas de sensores facilitaria consideravelmente a inovação em outras áreas, como escavadeiras elétricas, carregadeiras pesadas e outras grandes máquinas móveis que fazem backup até metade do tempo durante sua operação. O processo evolutivo de robôs estacionários para robôs móveis é um caminho adicional de desenvolvimento para detectores de presença. Por exemplo, melhorias podem ser feitas nos sensores atualmente usados ​​em movimentadores de materiais de robôs móveis ou “tratores de chão de fábrica sem motorista”, que seguem caminhos fixos e, portanto, têm requisitos de segurança relativamente baixos. O uso de detectores de presença é o próximo passo lógico para melhorar a segurança na área de transporte de materiais e passageiros.

Procedimentos de Detecção

Vários princípios físicos, disponíveis em conexão com métodos eletrônicos de medição e automonitoramento e, até certo ponto, procedimentos de computação de alto desempenho, podem ser usados ​​para avaliar e resolver as tarefas mencionadas acima. A operação aparentemente sem esforço e segura de máquinas automatizadas (robôs), tão comuns em filmes de ficção científica, possivelmente será realizada no mundo real por meio do uso de técnicas de imagem e algoritmos de reconhecimento de padrões de alto desempenho em combinação com métodos de medição de distância análogos aos empregados por scanners a laser. Deve-se reconhecer a situação paradoxal de que tudo o que parece simples para as pessoas é difícil para os autômatos. Por exemplo, uma tarefa difícil, como um excelente jogo de xadrez (que exige atividade do prosencéfalo), pode ser mais facilmente simulada e executada por máquinas automatizadas do que uma tarefa simples, como andar ereto ou realizar coordenação olho-mão e outros movimentos (mediados por o mesencéfalo e o rombencéfalo). Alguns desses princípios, métodos e procedimentos aplicáveis ​​a aplicações de sensores são descritos abaixo. Além destes, existe um grande número de procedimentos especiais para tarefas muito especiais que funcionam em parte com uma combinação de vários tipos de efeitos físicos.

Cortinas e barras de barreira de luz. Entre os primeiros detectores de presença estavam cortinas e barras de barreira de luz. Eles têm uma geometria de monitoramento plana; ou seja, aquele que ultrapassou a barreira não será mais detectado. A mão de um operador, ou a presença de ferramentas ou peças na mão de um operador, por exemplo, pode ser detectada de forma rápida e confiável com esses dispositivos. Oferecem uma contribuição importante para a segurança do trabalho de máquinas (como prensas e puncionadeiras) que exigem que o material seja colocado à mão. A confiabilidade tem que ser extremamente alta estatisticamente, porque quando a mão atinge apenas duas a três vezes por minuto, cerca de um milhão de operações são realizadas em apenas alguns anos. O automonitoramento mútuo dos componentes emissor e receptor foi desenvolvido em um nível técnico tão alto que representa um padrão para todos os outros procedimentos de detecção de presença.

Tapetes de contato (tapetes de comutação). Existem tipos passivos e ativos (bomba) de tapetes e pisos de contato elétricos e pneumáticos, que foram inicialmente usados ​​em grande número em funções de serviço (abertura de portas), até serem substituídos por detectores de movimento. O desenvolvimento posterior evolui com o uso de detectores de presença em todos os tipos de zonas de perigo. Por exemplo, o desenvolvimento da manufatura automatizada com uma mudança na função do trabalhador – de operar a máquina para monitorar estritamente sua função – produziu uma demanda correspondente por detectores apropriados. A padronização deste uso está bem avançada (DIN 1995a), e limitações especiais (layout, tamanho, máximo permitido de zonas “mortas”) exigiram o desenvolvimento de expertise para instalação nesta área de uso.

Possíveis usos interessantes de tapetes de contato surgem em conjunto com múltiplos sistemas de robôs controlados por computador. Um operador troca um ou dois elementos para que o detector de presença detecte sua posição exata e informe o computador, que gerencia os sistemas de controle do robô com um sistema interno de prevenção de colisões. Em um teste avançado pelo Instituto Federal de Segurança Alemão (BAU), um piso de tapete de contato, consistindo de pequenos tapetes de interruptores elétricos, foi construído sob a área de trabalho do braço do robô para esse propósito (Freund, Dierks e Rossman 1993). Este detector de presença tinha a forma de um tabuleiro de xadrez. O campo de esteira ativado respectivamente informava ao computador a posição do operador (figura 1) e quando o operador se aproximava muito do robô, ele se afastava. Sem o detector de presença, o sistema do robô não seria capaz de determinar a posição do operador, e o operador não poderia ser protegido.

Figura 1. Uma pessoa (à direita) e dois robôs em corpos de embalagem computados

Refletores (sensores de movimento e detectores de presença). Por mais meritórios que sejam os sensores discutidos até agora, eles não são detectores de presença no sentido mais amplo. Sua adequação - principalmente por razões de segurança no trabalho - para veículos de grande porte e grandes equipamentos móveis pressupõe duas características importantes: (1) a capacidade de monitorar uma área de uma posição e (2) funcionamento sem erros sem a necessidade de medidas adicionais em a parte de, por exemplo, o uso de dispositivos refletores. Detectar a presença de uma pessoa entrando na área monitorada e permanecendo parada até que ela saia também implica a necessidade de detectar uma pessoa que esteja absolutamente imóvel. Isso distingue os chamados sensores de movimento dos detectores de presença, pelo menos em conexão com equipamentos móveis; os sensores de movimento quase sempre são acionados quando o veículo é colocado em movimento.

Sensores de movimento. Os dois tipos básicos de sensores de movimento são: (1) “sensores infravermelhos passivos” (PIRS), que reagem à menor alteração no feixe infravermelho na área monitorada (o menor feixe detectável é de aproximadamente 10^-9 W com uma faixa de comprimento de onda de aproximadamente 7 a 20 μm); e (2) sensores de ultrassom e micro-ondas usando o princípio Doppler, que determina as características do movimento de um objeto de acordo com as mudanças de frequência. Por exemplo, o efeito Doppler aumenta a frequência da buzina de uma locomotiva para um observador quando ela se aproxima e reduz a frequência quando a locomotiva está se afastando. O efeito Doppler possibilita a construção de sensores de aproximação relativamente simples, pois o receptor precisa apenas monitorar a frequência do sinal das bandas de frequência vizinhas para o aparecimento da frequência Doppler.

Em meados da década de 1970, o uso de detectores de movimento tornou-se predominante em aplicações de funções de serviço, como abridores de portas, segurança contra roubo e proteção de objetos. Para uso estacionário, a detecção de uma pessoa se aproximando de um ponto de perigo era adequada para dar um aviso oportuno ou desligar uma máquina. Esta foi a base para estudar a adequação de detectores de movimento para seu uso em segurança ocupacional, especialmente por meio de PIRS (Mester et al. 1980). Como uma pessoa vestida geralmente tem uma temperatura mais alta do que a área circundante (cabeça 34°C, mãos 31°C), detectar uma pessoa que se aproxima é um pouco mais fácil do que detectar objetos inanimados. Até certo ponto, as peças da máquina podem se mover na área monitorada sem acionar o detector.

O método passivo (sem transmissor) tem vantagens e desvantagens. A vantagem é que um PIRS não aumenta os problemas de ruído e poluição elétrica. Para segurança contra roubo e proteção de objetos, é particularmente importante que o detector não seja fácil de encontrar. Um sensor que é apenas um receptor, no entanto, dificilmente pode monitorar sua própria eficácia, o que é essencial para a segurança do trabalho. Um método para contornar essa desvantagem foi testar pequenos emissores de infravermelho modulados (5 a 20 Hz) que foram instalados na área monitorada e que não acionaram o sensor, mas cujos feixes foram registrados com uma amplificação eletrônica fixa ajustada à frequência de modulação. Essa modificação o transformou de um sensor “passivo” em um sensor “ativo”. Desta forma também foi possível verificar a precisão geométrica da área monitorada. Os espelhos podem ter pontos cegos e a direção de um sensor passivo pode ser desviada pela atividade áspera em uma planta. A Figura 2 mostra um layout de teste com um PIRS com uma geometria monitorada na forma de um manto piramidal. Devido ao seu grande alcance, os sensores infravermelhos passivos são instalados, por exemplo, nas passagens das áreas de armazenamento de prateleiras.

Figura 2. Sensor infravermelho passivo como detector de aproximação em uma área de perigo

No geral, os testes mostraram que os detectores de movimento não são adequados para a segurança ocupacional. O andar noturno de um museu não pode ser comparado a zonas de perigo em um local de trabalho.

Detectores de ultra-som, radar e impulso de luz. Sensores que usam o princípio de pulso/eco – ou seja, medições de tempo decorrido de ultrassom, radar ou impulsos de luz – têm grande potencial como detectores de presença. Com scanners a laser, os impulsos de luz podem varrer em rápida sucessão (geralmente de forma rotatória), por exemplo, horizontalmente, e com a ajuda de um computador pode-se obter um perfil de distância dos objetos em um plano que refletem a luz. Se, por exemplo, não apenas uma única linha for desejada, mas a totalidade do que está diante do robô móvel na área até uma altura de 2 metros, grandes quantidades de dados devem ser processadas para representar a área circundante. Um futuro detector de presença “ideal” consistirá em uma combinação dos dois processos a seguir:

1. Será empregado um processo de reconhecimento de padrões, composto por uma câmera e um computador. Este último também pode ser uma “rede neuronal”.
2. Um processo de varredura a laser é ainda necessário para medir distâncias; isso assume uma posição em um espaço tridimensional a partir de um número de pontos individuais selecionados pelo processo de reconhecimento de padrão, estabelecido para obter a distância e o movimento por velocidade e direção.

A Figura 3 mostra, do projeto BAU citado anteriormente (Freund, Dierks e Rossman 1993), o uso de um scanner a laser em um robô móvel que também assume tarefas de navegação (através de um feixe de detecção de direção) e proteção contra colisão para objetos na vizinhança imediata. vizinhança (através de um feixe de medição de solo para detecção de presença). Dadas essas características, o robô móvel tem a capacidade de condução gratuita automatizada ativa (ou seja, a capacidade de contornar obstáculos). Tecnicamente, isso é obtido utilizando o ângulo de 45° da rotação do scanner para trás em ambos os lados (para bombordo e estibordo do robô), além do ângulo de 180° para a frente. Esses feixes são conectados a um espelho especial que atua como uma cortina de luz no chão em frente ao robô móvel (fornecendo uma linha de visão terrestre). Se um reflexo de laser vier daí, o robô para. Embora existam no mercado scanners a laser e de luz certificados para uso em segurança ocupacional, esses detectores de presença têm grande potencial para desenvolvimento adicional.

Figura 3. Robô móvel com scanner a laser para uso em navegação e detecção de presença

Sensores de ultrassom e radar, que usam o tempo decorrido do sinal à resposta para determinar a distância, são menos exigentes do ponto de vista técnico e, portanto, podem ser produzidos de forma mais barata. A área do sensor é em forma de taco e possui um ou mais tacos laterais menores, dispostos simetricamente. A velocidade de propagação do sinal (som: 330 m/s; onda eletromagnética: 300,000 km/s) determina a velocidade necessária da eletrônica utilizada.

Dispositivos de advertência de área traseira. Na Exposição de Hanover de 1985, a BAU mostrou os resultados de um projeto inicial sobre o uso de sensores de ultrassom para proteger a área atrás de veículos grandes (Langer e Kurfürst 1985). Um modelo em tamanho real de uma cabeça sensora feita de sensores Polaroid™ foi instalado na parede traseira de um caminhão de abastecimento. A Figura 4 mostra esquematicamente o seu funcionamento. O grande diâmetro deste sensor produz áreas de medição de ângulo relativamente pequeno (aproximadamente 18°), em forma de clava de longo alcance, dispostas próximas umas das outras e definidas para diferentes faixas de sinal máximo. Na prática permite definir qualquer geometria monitorada desejada, que é escaneada pelos sensores aproximadamente quatro vezes por segundo para a presença ou entrada de pessoas. Outros sistemas de alerta de área traseira demonstrados tinham vários sensores individuais paralelos.

Figura 4. Disposição da cabeça de medição e área monitorada na traseira de um caminhão

Esta demonstração vívida foi um grande sucesso na exposição. Ele mostrou que proteger a área traseira de grandes veículos e equipamentos está sendo estudado em muitos lugares - por exemplo, por comitês especializados das associações comerciais industriais (Berufsgenossenschaften), as seguradoras municipais de acidentes (responsáveis ​​pelos veículos municipais), os fiscais estaduais da indústria e os produtores de sensores, que vinham pensando mais em automóveis como veículos de serviço (no sentido de focar em sistemas de estacionamento para proteção contra danos corporais auto). Um comitê ad hoc formado pelos grupos para promover os dispositivos de alerta de retaguarda foi formado espontaneamente e teve como primeira tarefa a elaboração de uma lista de requisitos sob a perspectiva da segurança do trabalho. Dez anos se passaram durante os quais muito se trabalhou no monitoramento da retaguarda - possivelmente a tarefa mais importante dos detectores de presença; mas o grande avanço ainda está faltando.

Muitos projetos foram conduzidos com sensores de ultrassom - por exemplo, em guindastes de triagem de toras, pás hidráulicas, veículos municipais especiais e outros veículos utilitários, bem como em empilhadeiras e carregadeiras (Schreiber 1990). Os dispositivos de alerta na área traseira são especialmente importantes para grandes máquinas que dão ré na maior parte do tempo. Os detectores de presença de ultrassom são usados, por exemplo, para a proteção de veículos autônomos especializados, como máquinas robóticas de manuseio de materiais. Em comparação com os pára-choques de borracha, esses sensores têm uma área de detecção maior que permite a frenagem antes do contato entre a máquina e um objeto. Sensores correspondentes para automóveis são desenvolvimentos apropriados e envolvem requisitos consideravelmente menos rigorosos.

Nesse ínterim, o Comitê de Normas Técnicas do Sistema de Transporte da DIN elaborou a Norma 75031, “Dispositivos de detecção de obstáculos durante a marcha à ré” (DIN 1995b). Os requisitos e testes foram definidos para duas faixas: 1.8 m para caminhões de abastecimento e 3.0 m – uma área de alerta adicional – para caminhões maiores. A área monitorada é definida através do reconhecimento de corpos de prova cilíndricos. O alcance de 3 m também está no limite do que é tecnicamente possível atualmente, pois os sensores de ultrassom devem ter membranas metálicas fechadas, dadas as condições de trabalho difíceis. Os requisitos para o automonitoramento do sistema de sensores estão sendo definidos, pois a geometria monitorada necessária pode ser realizada apenas com um sistema de três ou mais sensores. A Figura 5 mostra um dispositivo de alerta de área traseira que consiste em três sensores de ultrassom (Microsonic GmbH 1996). O mesmo se aplica ao dispositivo de notificação na cabina do condutor e ao tipo de sinal de aviso. O conteúdo da norma DIN 75031 também é apresentado no relatório técnico internacional ISO TR 12155, “Veículos comerciais—Dispositivo de detecção de obstáculos durante a marcha atrás” (ISO 1994). Vários fabricantes de sensores desenvolveram protótipos de acordo com este padrão.

Figura 5. Caminhão de médio porte equipado com dispositivo de alerta de área traseira (foto Microsonic).

Conclusão

Desde o início dos anos 1970, várias instituições e fabricantes de sensores trabalharam para desenvolver e estabelecer “detectores de presença”. Na aplicação especial de “dispositivos de alerta de área traseira” existem o padrão DIN 75031 e o relatório ISO TR 12155. No momento, a Deutsche Post AG está realizando um grande teste. Vários fabricantes de sensores equiparam cada um cinco caminhões de médio porte com tais dispositivos. Um resultado positivo deste teste é muito do interesse da segurança ocupacional. Como foi enfatizado no início, os detectores de presença nos números necessários são um grande desafio para a tecnologia de segurança nas diversas áreas de aplicação mencionadas. Eles devem, portanto, ser realizáveis ​​a baixo custo, se os danos a equipamentos, máquinas e materiais e, acima de tudo, lesões em pessoas, muitas vezes muito graves, forem relegados ao passado.

Voltar

Dispositivos de controle e dispositivos usados ​​para isolamento e comutação devem sempre ser discutidos em relação a sistemas técnicos, termo utilizado neste artigo para incluir máquinas, instalações e equipamentos. Cada sistema técnico cumpre uma tarefa prática específica e atribuída. Dispositivos de controle e comutação de segurança apropriados são necessários para que esta tarefa prática seja viável ou mesmo possível em condições seguras. Tais dispositivos são utilizados para iniciar o controle, interromper ou retardar a corrente e/ou os impulsos de energias elétricas, hidráulicas, pneumáticas e também potenciais.

Isolamento e Redução de Energia

Dispositivos de isolamento são usados ​​para isolar a energia desconectando a linha de alimentação entre a fonte de energia e o sistema técnico. O dispositivo de isolamento deve normalmente produzir uma desconexão real inequivocamente determinável do fornecimento de energia. A desconexão do fornecimento de energia também deve ser sempre combinada com a redução da energia armazenada em todas as partes do sistema técnico. Se o sistema técnico for alimentado por várias fontes de energia, todas essas linhas de alimentação devem poder ser isoladas de forma confiável. Pessoas treinadas para lidar com o tipo relevante de energia e que trabalham na extremidade de energia do sistema técnico usam dispositivos de isolamento para se protegerem dos perigos da energia. Por questões de segurança, essas pessoas sempre verificarão se nenhuma energia potencialmente perigosa permanece no sistema técnico - por exemplo, verificando a ausência de potencial elétrico no caso de energia elétrica. O manuseio sem riscos de certos dispositivos de isolamento é possível apenas para especialistas treinados; nestes casos, o dispositivo de isolamento deve ser inacessível a pessoas não autorizadas. (Veja a figura 1.)

Figura 1. Princípios dos dispositivos de isolamento elétrico e pneumático

O interruptor mestre

Um dispositivo de chave mestre desconecta o sistema técnico do fornecimento de energia. Ao contrário do dispositivo de isolamento, ele pode ser operado sem perigo mesmo por “não especialistas em energia”. O dispositivo de chave geral é utilizado para desligar os sistemas técnicos que não estiverem em uso em determinado momento caso, digamos, seu funcionamento seja obstruído por terceiros não autorizados. Também é usado para efetuar uma desconexão para fins de manutenção, reparo de avarias, limpeza, reinicialização e remontagem, desde que esse trabalho possa ser feito sem energia no sistema. Naturalmente, quando um dispositivo de chave geral também possui as características de um dispositivo de isolamento, ele também pode assumir e/ou compartilhar sua função. (Veja a figura 2.)

Figura 2. Exemplo de ilustração de dispositivos elétricos e pneuméticos de chave mestre

Dispositivo de desconexão de segurança

Um dispositivo de desconexão de segurança não desconecta todo o sistema técnico da fonte de energia; em vez disso, ele remove a energia das partes críticas do sistema para um determinado subsistema operacional. Intervenções de curta duração podem ser designadas para subsistemas operacionais - por exemplo, para a configuração ou reinicialização/reequipamento do sistema, para a reparação de avarias, para limpeza regular e para movimentos essenciais e designados e sequências de funções necessárias durante o curso de configuração, reinicialização/reinstalação ou execuções de teste. Nestes casos, equipamentos e instalações de produção complexos não podem ser simplesmente desligados com um dispositivo de chave geral, pois todo o sistema técnico não pode ser iniciado novamente de onde parou após o reparo de um defeito. Além disso, o dispositivo de chave geral raramente está localizado, nos sistemas técnicos mais extensos, no local onde a intervenção deve ser feita. Assim, o dispositivo de desconexão de segurança é obrigado a cumprir uma série de requisitos, como os seguintes:

• Ele interrompe o fluxo de energia de forma confiável e de forma que movimentos ou processos perigosos não sejam acionados por sinais de controle que são inseridos ou gerados erroneamente.
• Ele é instalado exatamente onde as interrupções devem ser feitas em áreas perigosas de subsistemas operacionais do sistema técnico. Se necessário, a instalação pode ser em vários locais (por exemplo, em vários andares, em várias salas ou em vários pontos de acesso em máquinas ou equipamentos).
• Seu dispositivo de controle tem uma posição "desligada" claramente marcada, que é registrada apenas uma vez após o fluxo de energia ter sido cortado de forma confiável.
• Uma vez na posição "desligado", seu dispositivo de controle pode ser protegido contra reinicialização sem autorização (a) se as áreas de perigo em questão não puderem ser supervisionadas de forma confiável a partir da área de controle e (b) se as pessoas localizadas na área de perigo não puderem ver as dispositivo de controle prontamente e constantemente, ou (c) se o bloqueio/sinalização for exigido por regulamentação ou procedimentos da organização.
• Deve desligar apenas uma única unidade funcional de um sistema técnico ampliado, se outras unidades funcionais puderem continuar a trabalhar por conta própria sem perigo para a pessoa que intervém.

Onde o dispositivo de chave geral usado em um determinado sistema técnico é capaz de atender a todos os requisitos de um dispositivo de desconexão de segurança, ele também pode assumir esta função. Mas é claro que isso será um expediente confiável apenas em sistemas técnicos muito simples. (Veja a figura 3.)

Figura 3. Ilustração dos princípios elementares de um dispositivo de desconexão de segurança

Engrenagens de Controle para Subsistemas Operacionais

As engrenagens de controle permitem que os movimentos e as sequências funcionais necessárias para os subsistemas operacionais do sistema técnico sejam implementados e controlados com segurança. Engrenagens de controle para subsistemas operacionais podem ser necessárias para configuração (quando testes devem ser executados); para regulação (quando é necessário reparar avarias no funcionamento do sistema ou quando é necessário desobstruir bloqueios); ou fins de treinamento (demonstração de operações). Nesses casos, a operação normal do sistema não pode ser simplesmente reiniciada, pois a pessoa interveniente estaria em perigo por movimentos e processos desencadeados por sinais de controle inseridos ou gerados erroneamente. Um reator para subsistemas operacionais deve atender aos seguintes requisitos:

• Deve permitir a execução segura dos movimentos e processos necessários para os subsistemas operacionais do sistema técnico. Por exemplo, certos movimentos serão executados em velocidades reduzidas, gradualmente ou em níveis de potência mais baixos (conforme o que for apropriado), e os processos serão interrompidos imediatamente, via de regra, se o painel de controle não for mais atendido.
• Seus painéis de controle devem estar localizados em áreas onde sua operação não coloque em risco o operador e de onde os processos controlados sejam totalmente visíveis.
• Se vários painéis de controle controlando vários processos estiverem presentes em um único local, eles devem ser claramente marcados e dispostos de maneira distinta e compreensível.
• O mecanismo de controle para subsistemas operacionais deve se tornar efetivo apenas quando a operação normal for desativada de forma confiável; ou seja, deve ser garantido que nenhum comando de controle possa ser emitido efetivamente da operação normal e anular o mecanismo de controle.
• O uso não autorizado do equipamento de controle para subsistemas operacionais deve ser evitado, por exemplo, exigindo o uso de uma chave ou código especial para liberar a função em questão. (Veja a figura 4.)

Figura 4. Dispositivos acionadores nos redutores de comando dos subsistemas operacionais móveis e estacionários

O Interruptor de Emergência

Os interruptores de emergência são necessários sempre que o funcionamento normal de sistemas técnicos possa resultar em perigos que nem a conceção adequada do sistema nem a adoção de precauções de segurança adequadas são capazes de prevenir. Em subsistemas operacionais, a chave de emergência frequentemente faz parte do mecanismo de controle do subsistema operacional. Quando operado em caso de perigo, o interruptor de emergência implementa processos que retornam o sistema técnico a um estado operacional seguro o mais rápido possível. No que diz respeito às prioridades de segurança, a proteção das pessoas é a principal preocupação; a prevenção de danos ao material é secundária, a menos que este também possa colocar pessoas em perigo. O interruptor de emergência deve cumprir os seguintes requisitos:

• Deve trazer uma condição operacional segura do sistema técnico o mais rápido possível.
• Seu painel de controle deve ser facilmente reconhecível e colocado e projetado de forma que possa ser operado sem dificuldade por pessoas em perigo e também possa ser alcançado por outras pessoas que respondem à emergência.
• Os processos de emergência que desencadeia não devem trazer novos perigos; por exemplo, eles não devem liberar dispositivos de fixação ou desconectar fixações magnéticas ou bloquear dispositivos de segurança.
• Após o acionamento de um processo de comutação de emergência, o sistema técnico não deve poder ser reiniciado automaticamente pela reinicialização do painel de controle do comutador de emergência. Em vez disso, a entrada consciente de um novo comando de controle de função deve ser necessária. (Veja a figura 5.)

Figura 5. Ilustração dos princípios dos painéis de controle em chaves de emergência

Dispositivo de controle do interruptor de função

Dispositivos de controle de chave de função são usados ​​para ligar o sistema técnico para operação normal e para iniciar, implementar e interromper os movimentos e processos designados para operação normal. O dispositivo de controle do interruptor de função é usado exclusivamente durante a operação normal do sistema técnico, ou seja, durante a execução sem interrupções de todas as funções atribuídas. Ele é usado adequadamente pelas pessoas que executam o sistema técnico. Os dispositivos de controle do interruptor de função devem atender aos seguintes requisitos:

• Seus painéis de controle devem ser acessíveis e fáceis de usar sem perigo.
• Seus painéis de controle devem ser organizados de forma clara e racional; por exemplo, os botões de controle devem operar “racionalmente” em relação aos movimentos controlados para cima e para baixo, para a direita e para a esquerda. (Movimentos de controle “racionais” e efeitos correspondentes podem estar sujeitos a variação local e às vezes são definidos por estipulação.)
• Seus painéis de controle devem ser rotulados de forma clara e inteligível, com símbolos de fácil compreensão.
• Processos que exijam total atenção do usuário para sua execução segura não devem poder ser acionados nem por sinais de controle gerados erroneamente, nem por operação inadvertida dos dispositivos de controle que os regem. O processamento do sinal do painel de controle deve ser adequadamente confiável e a operação involuntária deve ser evitada pelo projeto apropriado do dispositivo de controle. (Ver figura 6).

Figura 6. Representação esquemática de um painel de controle de operações

Chaves de monitoramento

Os interruptores de monitoramento impedem a partida do sistema técnico enquanto as condições de segurança monitoradas não forem atendidas e interrompem a operação assim que uma condição de segurança não for mais atendida. Eles são usados, por exemplo, para monitorar portas em compartimentos de proteção, para verificar a posição correta das proteções de segurança ou para garantir que os limites de velocidade ou percurso não sejam ultrapassados. As chaves de monitoramento devem atender aos seguintes requisitos de segurança e confiabilidade:

• O aparelho de comutação utilizado para fins de monitoramento deve emitir o sinal de proteção de forma particularmente confiável; por exemplo, uma chave de monitoração mecânica pode ser projetada para interromper o fluxo de sinal automaticamente e com confiabilidade particular.
• A ferramenta de comutação usada para fins de monitoramento deve ser operada de maneira particularmente confiável quando a condição de segurança não for atendida (por exemplo, quando o êmbolo de uma chave de monitoramento com interrupção automática é forçado mecânica e automaticamente na posição de interrupção).
• A chave de monitoramento não deve poder ser desligada indevidamente, pelo menos não involuntariamente e não sem algum esforço; esta condição pode ser satisfeita, por exemplo, por um interruptor mecânico controlado automaticamente com interrupção automática, quando o interruptor e o elemento de operação estão montados de forma segura. (Ver figura 7).

Figura 7. Diagrama de uma chave com operação mecânica positiva e desconexão positiva

Circuitos de controle de segurança

Vários dos dispositivos de comutação de segurança descritos acima não executam a função de segurança diretamente, mas sim emitindo um sinal que é então transmitido e processado por um circuito de controle de segurança e finalmente atinge as partes do sistema técnico que exercem a função de segurança real. O dispositivo de desconexão de segurança, por exemplo, freqüentemente causa a desconexão de energia em pontos críticos indiretamente, enquanto um interruptor principal geralmente desconecta diretamente o fornecimento de corrente ao sistema técnico.

Como os circuitos de controle de segurança devem transmitir sinais de segurança de forma confiável, os seguintes princípios devem ser levados em consideração:

• A segurança deve ser garantida mesmo quando a energia externa é insuficiente ou insuficiente, por exemplo, durante desconexões ou vazamentos.
• Os sinais de proteção funcionam de forma mais confiável pela interrupção do fluxo do sinal; por exemplo, chaves de segurança com contato de abertura ou um contato de relé aberto.
• A função de proteção de amplificadores, transformadores e similares pode ser alcançada de forma mais confiável sem energia externa; tais mecanismos incluem, por exemplo, dispositivos de comutação eletromagnéticos ou respiradouros que são fechados quando em repouso.
• Conexões feitas por engano e vazamentos no circuito de controle de segurança não devem levar a falsas partidas ou impedimentos à parada; particularmente nos casos de curto-circuito entre os condutos de entrada e saída, fuga à terra ou aterramento.
• Influências externas que afetem o sistema em uma medida que não exceda as expectativas do usuário não devem interferir na função de segurança do circuito de controle de segurança.

Os componentes usados ​​em circuitos de controle de segurança devem executar a função de segurança de maneira especialmente confiável. As funções dos componentes que não cumpram este requisito devem ser implementadas providenciando uma redundância tão diversificada quanto possível e devem ser mantidas sob vigilância.

Voltar

Nos últimos anos, os microprocessadores desempenharam um papel cada vez maior no campo da tecnologia de segurança. Como computadores inteiros (ou seja, unidade central de processamento, memória e componentes periféricos) estão agora disponíveis em um único componente como “computadores de chip único”, a tecnologia de microprocessador está sendo empregada não apenas no controle de máquinas complexas, mas também em salvaguardas de design relativamente simples (por exemplo, grades de luz, dispositivos de controle bimanual e bordas de segurança). O software que controla esses sistemas compreende entre mil e várias dezenas de milhares de comandos únicos e geralmente consiste em várias centenas de ramificações do programa. Os programas operam em tempo real e são escritos principalmente na linguagem assembly dos programadores.

A introdução de sistemas controlados por computador na esfera da tecnologia de segurança foi acompanhada em todos os equipamentos técnicos de grande escala, não apenas por projetos caros de pesquisa e desenvolvimento, mas também por restrições significativas destinadas a aumentar a segurança. (A tecnologia aeroespacial, a tecnologia militar e a tecnologia de energia atômica podem ser citadas aqui como exemplos de aplicações em larga escala.) Até agora, o campo coletivo da produção industrial em massa foi tratado apenas de maneira muito limitada. Isso se deve em parte ao fato de que os rápidos ciclos de inovação característicos do projeto de máquinas industriais tornam difícil transferir, exceto de maneira muito restrita, o conhecimento que pode ser derivado de projetos de pesquisa relacionados ao teste final de máquinas em larga escala. dispositivos de segurança. Isso torna o desenvolvimento de procedimentos de avaliação rápidos e de baixo custo um desiderato (Reinert e Reuss 1991).

Este artigo primeiro examina máquinas e instalações nas quais os sistemas de computador atualmente executam tarefas de segurança, usando exemplos de acidentes que ocorrem predominantemente na área de proteção de máquinas para descrever o papel específico que os computadores desempenham na tecnologia de segurança. Esses acidentes dão algumas indicações sobre quais precauções devem ser tomadas para que os equipamentos de segurança controlados por computador, cada vez mais amplamente utilizados, não levem a um aumento no número de acidentes. A seção final do artigo esboça um procedimento que permitirá que até mesmo pequenos sistemas de computador sejam levados a um nível apropriado de segurança técnica a um custo justificável e dentro de um período de tempo aceitável. Os princípios indicados nesta parte final estão sendo introduzidos nos procedimentos de padronização internacional e terão implicações para todas as áreas de tecnologia de segurança nas quais os computadores encontram aplicação.

Exemplos de uso de software e computadores no campo de proteção de máquinas

Os quatro exemplos a seguir deixam claro que o software e os computadores estão entrando cada vez mais em aplicações relacionadas à segurança no domínio comercial.

As instalações de sinalização pessoal de emergência consistem, em regra, de uma estação central receptora e de vários dispositivos de sinalização pessoal de emergência. Os dispositivos são transportados por pessoas que trabalham sozinhas no local. Se alguma dessas pessoas trabalhando sozinhas se encontrar em uma situação de emergência, pode usar o dispositivo para disparar um alarme por sinal de rádio na estação receptora central. Tal disparo de alarme dependente da vontade também pode ser complementado por um mecanismo de disparo independente da vontade ativado por sensores embutidos nos dispositivos de emergência pessoais. Ambos os dispositivos individuais e a estação receptora central são freqüentemente controlados por microcomputadores. É concebível que a falha de funções individuais específicas do computador embutido possa levar, em uma situação de emergência, a uma falha no acionamento do alarme. Portanto, precauções devem ser tomadas para perceber e reparar essa perda de função a tempo.

As impressoras usadas hoje para imprimir revistas são máquinas grandes. As teias de papel são normalmente preparadas por uma máquina separada de modo a permitir uma transição perfeita para um novo rolo de papel. As páginas impressas são dobradas por uma máquina de dobragem e subsequentemente trabalhadas através de uma cadeia de outras máquinas. Isso resulta em paletes carregadas com revistas totalmente costuradas. Embora tais plantas sejam automatizadas, há dois pontos em que intervenções manuais devem ser feitas: (1) no enfiamento dos caminhos do papel e (2) na desobstrução causada por rasgos de papel em pontos perigosos dos rolos rotativos. Por esta razão, uma velocidade de operação reduzida ou um modo jogging limitado por caminho ou tempo deve ser assegurado pela tecnologia de controle enquanto as prensas estão sendo ajustadas. Devido aos complexos procedimentos de direção envolvidos, cada estação de impressão deve ser equipada com seu próprio controlador lógico programável. Qualquer falha que ocorra no controle de uma planta de impressão enquanto as grades de proteção estiverem abertas deve ser impedida de levar à inicialização inesperada de uma máquina parada ou à operação em excesso de velocidades apropriadamente reduzidas.

Em grandes fábricas e armazéns, veículos robóticos guiados automaticamente e sem motorista se movem em trilhos especialmente marcados. Esses trilhos podem ser percorridos a qualquer momento por pessoas, ou materiais e equipamentos podem ser deixados inadvertidamente nos trilhos, uma vez que não são separados estruturalmente de outras linhas de tráfego. Por esse motivo, algum tipo de equipamento de prevenção de colisão deve ser usado para garantir que o veículo seja parado antes que ocorra qualquer colisão perigosa com uma pessoa ou objeto. Em aplicações mais recentes, a prevenção de colisões é realizada por meio de scanners ultrassônicos ou de luz laser usados ​​em combinação com um amortecedor de segurança. Como esses sistemas funcionam sob controle computadorizado, é possível configurar várias zonas de detecção permanentes para que um veículo modifique sua reação dependendo da zona de detecção específica em que uma pessoa se encontra. Falhas no dispositivo de proteção não devem levar a uma colisão perigosa com uma pessoa.

As guilhotinas do dispositivo de controle de corte de papel são usadas para pressionar e depois cortar pilhas grossas de papel. Eles são acionados por um dispositivo de controle bimanual. O usuário deve alcançar a zona de perigo da máquina após cada corte. Uma proteção imaterial, geralmente uma grade de luz, é usada em conjunto com o dispositivo de controle bimanual e um sistema seguro de controle da máquina para evitar ferimentos quando o papel é alimentado durante a operação de corte. Quase todas as guilhotinas maiores e mais modernas em uso hoje são controladas por sistemas de microcomputadores multicanal. Tanto a operação bimanual quanto a grade de luz também devem funcionar com segurança.

Acidentes com Sistemas Controlados por Computador

Em quase todos os campos de aplicação industrial, acidentes com software e computadores são relatados (Neumann 1994). Na maioria dos casos, as falhas do computador não causam ferimentos às pessoas. Tais falhas são, em qualquer caso, tornadas públicas apenas quando são de interesse público geral. Isso significa que os casos de mau funcionamento ou acidente relacionados a computadores e softwares que envolvem lesões a pessoas representam uma proporção relativamente alta de todos os casos divulgados. Infelizmente, os acidentes que não causam grande sensação pública não são investigados quanto às suas causas com a mesma intensidade que os acidentes mais proeminentes, geralmente em fábricas de grande porte. Por esta razão, os exemplos a seguir referem-se a quatro descrições de mau funcionamento ou acidentes típicos de sistemas controlados por computador fora do campo de proteção de máquinas, que são usados ​​para sugerir o que deve ser levado em consideração quando são feitos julgamentos sobre tecnologia de segurança.

Acidentes causados ​​por falhas aleatórias no hardware

O seguinte acidente foi causado por uma concentração de falhas aleatórias no hardware combinadas com falhas de programação: Um reator superaqueceu em uma fábrica de produtos químicos, após o que as válvulas de alívio foram abertas, permitindo que o conteúdo do reator fosse descarregado na atmosfera. Esse acidente ocorreu pouco tempo depois de um aviso ter sido dado de que o nível de óleo em uma caixa de câmbio estava muito baixo. A investigação cuidadosa do acidente mostrou que logo após o catalisador ter iniciado a reação no reator - em consequência do qual o reator teria exigido mais resfriamento - o computador, com base no relatório de baixos níveis de óleo na caixa de engrenagens, congelou todos magnitudes sob seu controle em um valor fixo. Isso manteve o fluxo de água fria em um nível muito baixo e, como resultado, o reator superaqueceu. Uma investigação mais aprofundada mostrou que a indicação de níveis baixos de óleo foi sinalizada por um componente defeituoso.

O software respondeu de acordo com a especificação com o disparo de um alarme e a fixação de todas as variáveis ​​operativas. Isso foi consequência do estudo HAZOP (hazards and operability analysis) (Knowlton 1986) feito antes do evento, que exigia que todas as variáveis ​​controladas não fossem modificadas em caso de falha. Como o programador não conhecia o procedimento em detalhes, este requisito foi interpretado como significando que os atuadores controlados (válvulas de controle neste caso) não deveriam ser modificados; nenhuma atenção foi dada à possibilidade de um aumento na temperatura. O programador não levou em consideração que, após receber um sinal errado, o sistema poderia se encontrar em uma situação dinâmica do tipo que exige a intervenção ativa do computador para evitar um acidente. Além disso, a situação que levou ao acidente era tão improvável que não havia sido analisada em detalhes no estudo HAZOP (Levenson 1986). Este exemplo fornece uma transição para uma segunda categoria de causas de acidentes de software e computador. Estas são as falhas sistemáticas que estão no sistema desde o início, mas que se manifestam apenas em algumas situações muito específicas que o desenvolvedor não levou em consideração.

Acidentes causados ​​por falhas operacionais

Em testes de campo durante a inspeção final dos robôs, um técnico pegou emprestado o cassete de um robô vizinho e o substituiu por outro sem informar ao colega que o havia feito. Ao retornar ao local de trabalho, o colega inseriu o cassete errado. Como ele estava ao lado do robô e esperava uma sequência particular de movimentos dele - uma sequência que saiu diferente por causa do programa trocado - ocorreu uma colisão entre o robô e o humano. Este acidente descreve o exemplo clássico de uma falha operacional. O papel de tais falhas em mau funcionamento e acidentes está aumentando devido à crescente complexidade na aplicação de mecanismos de segurança controlados por computador.

Acidentes causados ​​por falhas sistemáticas em hardware ou software

Um torpedo com ogiva deveria ter sido disparado para fins de treinamento, de um navio de guerra em alto mar. Devido a um defeito no aparelho de acionamento, o torpedo permaneceu no tubo do torpedo. O capitão decidiu retornar ao porto de origem para resgatar o torpedo. Pouco depois de o navio começar a voltar para casa, o torpedo explodiu. Uma análise do acidente revelou que os desenvolvedores do torpedo foram obrigados a construir no torpedo um mecanismo projetado para evitar que ele retorne à plataforma de lançamento após ter sido disparado, destruindo assim o navio que o lançou. O mecanismo escolhido para isso foi o seguinte: Após o disparo do torpedo foi feita uma verificação, utilizando o sistema de navegação inercial, para ver se o seu curso havia alterado 180°. Assim que o torpedo percebeu que havia girado 180°, o torpedo detonou imediatamente, supostamente a uma distância segura da plataforma de lançamento. Este mecanismo de detecção foi acionado no caso do torpedo que não havia sido lançado corretamente, fazendo com que o torpedo explodisse após o navio ter mudado seu curso em 180°. Este é um exemplo típico de acidente ocorrido por falha nas especificações. O requisito nas especificações de que o torpedo não deve destruir seu próprio navio caso seu curso mude não foi formulado com precisão suficiente; a precaução foi assim programada erroneamente. O erro tornou-se aparente apenas em uma situação particular, que o programador não havia levado em consideração como uma possibilidade.

Em 14 de setembro de 1993, um Lufthansa Airbus A 320 caiu ao pousar em Varsóvia (figura 1). Uma investigação cuidadosa do acidente mostrou que modificações na lógica de pouso do computador de bordo feitas após um acidente com um Boeing 767 da Lauda Air em 1991 foram parcialmente responsáveis ​​por esse pouso forçado. O que aconteceu no acidente de 1991 foi que a deflexão do empuxo, que desvia parte dos gases do motor para frear o avião durante o pouso, foi acionada ainda no ar, forçando a máquina a um mergulho de nariz incontrolável. Por esta razão, um bloqueio eletrônico da deflexão de empuxo foi incorporado às máquinas Airbus. Esse mecanismo permitia que a deflexão do impulso entrasse em vigor somente após os sensores em ambos os conjuntos de trem de pouso terem sinalizado a compressão dos amortecedores sob a pressão das rodas tocando o solo. Com base em informações incorretas, os pilotos do avião em Varsóvia previram um forte vento lateral.

Figura 1. Lufthansa Airbus após acidente em Varsóvia 1993

Por esse motivo, eles trouxeram a máquina com uma leve inclinação e o Airbus pousou apenas com a roda direita, deixando o rolamento esquerdo com menos do que o peso total. Por conta do travamento eletrônico da deflexão de empuxo, o computador de bordo negou ao piloto pelo espaço de nove segundos manobras que teriam permitido ao avião pousar com segurança apesar das circunstâncias adversas. Este acidente demonstra muito claramente que as modificações nos sistemas de computador podem levar a situações novas e perigosas se o leque de suas possíveis consequências não for considerado com antecedência.

O seguinte exemplo de mau funcionamento também demonstra os efeitos desastrosos que a modificação de um único comando pode ter em sistemas de computador. O teor de álcool do sangue é determinado, em testes químicos, usando soro de sangue claro do qual os glóbulos sanguíneos foram previamente centrifugados. O teor de álcool do soro é, portanto, maior (por um fator de 1.2) do que o do sangue total mais espesso. Por esta razão, os valores de álcool no soro devem ser divididos por um fator de 1.2 a fim de estabelecer as partes por milhar legais e medicamente críticas. No teste interlaboratorial realizado em 1984, deveriam ser comparados os valores de alcoolemia apurados em testes idênticos, realizados em diferentes instituições de pesquisa com soro. Como era apenas uma questão de comparação, o comando para dividir por 1.2 foi apagado do programa em uma das instituições durante o experimento. Após o término do teste interlaboratorial, um comando para multiplicar por 1.2 foi introduzido erroneamente no programa neste local. Aproximadamente 1,500 valores incorretos de partes por mil foram calculados entre agosto de 1984 e março de 1985 como resultado. Esse erro foi crítico para a carreira profissional dos caminhoneiros com alcoolemia entre 1.0 e 1.3 por mil, uma vez que uma penalidade legal de cassação da carteira de habilitação por tempo prolongado é consequência de um valor de 1.3 por mil.

Acidentes causados ​​por influências de tensões operacionais ou ambientais

Em consequência de uma perturbação causada pela recolha de desperdícios na área útil de uma puncionadora e mordiscada CNC (controlo numérico computadorizado), o utilizador efectuou a “paragem programada”. Ao tentar retirar os resíduos com as mãos, a haste da máquina começou a se mover apesar da parada programada e feriu gravemente o usuário. Uma análise do acidente revelou que não se tratava de um erro no programa. A inicialização inesperada não pôde ser reproduzida. Irregularidades semelhantes foram observadas no passado em outras máquinas do mesmo tipo. Parece plausível deduzir disso que o acidente deve ter sido causado por interferência eletromagnética. Acidentes semelhantes com robôs industriais são relatados no Japão (Neumann 1987).

Um mau funcionamento na sonda espacial Voyager 2 em 18 de janeiro de 1986 torna ainda mais clara a influência do estresse ambiental nos sistemas controlados por computador. Seis dias antes da aproximação mais próxima de Urano, grandes campos de linhas em preto e branco cobriam as fotos da Voyager 2. Uma análise precisa mostrou que um único bit em uma palavra de comando do subsistema de dados de voo causou a falha, observada como as imagens foram comprimidas na sonda. Este bit provavelmente foi deslocado dentro da memória do programa pelo impacto de uma partícula cósmica. A transmissão sem erros das fotografias comprimidas da sonda foi realizada apenas dois dias depois, usando um programa de substituição capaz de contornar o ponto de memória com falha (Laeser, McLaughlin e Wolff 1987).

Resumo dos acidentes apresentados

Os acidentes analisados ​​mostram que certos riscos que podem ser negligenciados em condições que utilizam tecnologia eletromecânica simples, ganham importância quando se utiliza computadores. Os computadores permitem o processamento de funções de segurança complexas e específicas da situação. Uma especificação inequívoca, livre de erros, completa e testável de todas as funções de segurança torna-se, por isso, especialmente importante. Erros nas especificações são difíceis de descobrir e frequentemente são a causa de acidentes em sistemas complexos. Os controles livremente programáveis ​​são geralmente introduzidos com a intenção de ser capaz de reagir com flexibilidade e rapidez às mudanças do mercado. As modificações, no entanto, especialmente em sistemas complexos, têm efeitos colaterais difíceis de prever. Todas as modificações devem, portanto, ser submetidas a um gerenciamento estritamente formal do procedimento de mudança, no qual uma separação clara das funções de segurança dos sistemas parciais não relevantes para a segurança ajudará a manter as consequências das modificações para a tecnologia de segurança fáceis de avaliar.

Os computadores funcionam com baixos níveis de eletricidade. Eles são, portanto, suscetíveis à interferência de fontes externas de radiação. Como a modificação de um único sinal entre milhões pode levar a um mau funcionamento, vale a pena dar atenção especial ao tema da compatibilidade eletromagnética em conexão com computadores.

Atualmente, a manutenção de sistemas controlados por computador está se tornando cada vez mais complexa e, portanto, menos clara. A ergonomia do software do usuário e do software de configuração está, portanto, se tornando mais interessante do ponto de vista da tecnologia de segurança.

Nenhum sistema de computador é 100% testável. Um mecanismo de controle simples com 32 portas de entrada binária e 1,000 caminhos de software diferentes requer 4.3 × 10¹² testes para uma verificação completa. A uma taxa de 100 testes por segundo executados e avaliados, um teste completo levaria 1,362 anos.

Procedimentos e medidas para a melhoria dos dispositivos de segurança controlados por computador

Nos últimos 10 anos, foram desenvolvidos procedimentos que permitem o domínio de desafios específicos relacionados à segurança em conexão com computadores. Esses procedimentos tratam das falhas do computador descritas nesta seção. Os exemplos descritos de software e computadores em proteções de máquinas e os acidentes analisados ​​mostram que a extensão dos danos e, portanto, também o risco envolvido em várias aplicações são extremamente variáveis. Fica claro, portanto, que os cuidados necessários para o aperfeiçoamento dos computadores e softwares utilizados na tecnologia de segurança devem ser estabelecidos em relação ao risco.

A Figura 2 mostra um procedimento qualitativo por meio do qual a redução de risco necessária obtida usando sistemas de segurança pode ser determinada independentemente da extensão e da frequência com que o dano ocorre (Bell e Reinert 1992). Os tipos de falhas em sistemas computacionais analisados ​​na seção “Acidentes com sistemas controlados por computador” (acima) podem ser relacionados aos chamados Níveis de Integridade de Segurança, ou seja, as facilidades técnicas para redução de riscos.

Figura 2. Procedimento qualitativo para determinação de risco

A Figura 3 deixa claro que a eficácia das medidas tomadas, em qualquer caso, para reduzir o erro em software e computadores precisa crescer com risco crescente (DIN 1994; IEC 1993).

Figura 3, Eficácia das precauções tomadas contra erros independentemente do risco

A análise dos acidentes esboçados acima mostra que a falha das proteções controladas por computador é causada não apenas por falhas aleatórias de componentes, mas também por condições operacionais particulares que o programador não levou em consideração. As consequências não imediatamente óbvias das modificações do programa feitas durante a manutenção do sistema constituem outra fonte de erro. Conclui-se que podem ocorrer falhas em sistemas de segurança controlados por microprocessadores que, embora feitas durante o desenvolvimento do sistema, podem levar a uma situação perigosa apenas durante a operação. Precauções contra tais falhas devem, portanto, ser tomadas enquanto os sistemas relacionados à segurança estão em fase de desenvolvimento. Essas chamadas medidas de prevenção de falhas devem ser tomadas não apenas durante a fase de conceito, mas também no processo de desenvolvimento, instalação e modificação. Certas falhas podem ser evitadas se forem descobertas e corrigidas durante este processo (DIN 1990).

Como o último contratempo descrito deixa claro, a quebra de um único transistor pode levar à falha técnica de equipamentos automatizados de alta complexidade. Uma vez que cada circuito único é composto de muitos milhares de transistores e outros componentes, várias medidas de prevenção de falhas devem ser tomadas para reconhecer tais falhas como aparecem na operação e para iniciar uma reação apropriada no sistema de computador. A Figura 4 descreve tipos de falhas em sistemas eletrônicos programáveis, bem como exemplos de precauções que podem ser tomadas para evitar e controlar falhas em sistemas de computador (DIN 1990; IEC 1992).

Figura 4. Exemplos de precauções tomadas para controlar e evitar erros em sistemas de computador

Possibilidades e Perspectivas de Sistemas Eletrônicos Programáveis ​​em Tecnologia de Segurança

Máquinas e instalações modernas estão se tornando cada vez mais complexas e devem realizar tarefas cada vez mais abrangentes em períodos de tempo cada vez mais curtos. Por esse motivo, os sistemas de computador dominaram quase todas as áreas da indústria desde meados da década de 1970. Esse aumento de complexidade por si só contribuiu significativamente para o aumento dos custos envolvidos na melhoria da tecnologia de segurança em tais sistemas. Embora o software e os computadores representem um grande desafio para a segurança no trabalho, eles também possibilitam a implementação de novos sistemas amigáveis ​​ao erro no campo da tecnologia de segurança.

Um verso engraçado, mas instrutivo, de Ernst Jandl ajudará a explicar o que significa o conceito amigável ao erro. “Lichtung: Manche meinen lechts und rinks kann man nicht velwechsern, werch ein Illtum”. (“Dileção: Muitos acreditam que luz e reft não podem ser trocados por inteligência, que ellol”.) Apesar da troca de cartas r e l, esta frase é facilmente compreendida por um ser humano adulto normal. Mesmo alguém com pouca fluência no idioma inglês pode traduzi-lo para o inglês. A tarefa é, no entanto, quase impossível para um computador tradutor sozinho.

Este exemplo mostra que um ser humano pode reagir de uma maneira muito mais amigável ao erro do que um computador de linguagem. Isso significa que os humanos, como todas as outras criaturas vivas, podem tolerar falhas referindo-se a elas na experiência. Se olharmos para as máquinas em uso hoje, veremos que a maioria das máquinas penaliza as falhas do usuário não com um acidente, mas com uma diminuição da produção. Esta propriedade leva à manipulação ou evasão de salvaguardas. A moderna informática coloca à disposição da segurança do trabalho sistemas que podem reagir de forma inteligente, ou seja, de forma modificada. Tais sistemas tornam possível um modo de comportamento amigável ao erro em novas máquinas. Eles alertam os usuários durante uma operação errada antes de tudo e desligam a máquina somente quando esta é a única maneira de evitar um acidente. A análise dos acidentes mostra que existe nesta área um potencial considerável de redução de acidentes (Reinert e Reuss 1991).

Voltar

Um sistema automatizado híbrido (HAS) visa integrar as capacidades de máquinas artificialmente inteligentes (baseadas em tecnologia de computador) com as capacidades das pessoas que interagem com essas máquinas no curso de suas atividades de trabalho. As principais preocupações da utilização do HAS estão relacionadas a como os subsistemas humano e de máquina devem ser projetados para fazer o melhor uso do conhecimento e habilidades de ambas as partes do sistema híbrido, e como os operadores humanos e os componentes da máquina devem interagir uns com os outros. para garantir que suas funções se complementem. Muitos sistemas automatizados híbridos evoluíram como produtos de aplicações de metodologias modernas baseadas em informações e controle para automatizar e integrar diferentes funções de sistemas tecnológicos frequentemente complexos. O HAS foi originalmente identificado com a introdução de sistemas baseados em computador usados ​​no projeto e operação de sistemas de controle em tempo real para reatores de energia nuclear, para plantas de processamento químico e para tecnologia de fabricação de peças discretas. HAS agora também pode ser encontrado em muitas indústrias de serviços, como controle de tráfego aéreo e procedimentos de navegação de aeronaves na área de aviação civil, e no projeto e uso de veículos inteligentes e sistemas de navegação rodoviária no transporte rodoviário.

Com o progresso contínuo na automação baseada em computador, a natureza das tarefas humanas em sistemas tecnológicos modernos muda daquelas que requerem habilidades motoras perceptuais para aquelas que exigem atividades cognitivas, que são necessárias para a resolução de problemas, para a tomada de decisões no monitoramento do sistema e para tarefas de controle de supervisão. Por exemplo, os operadores humanos em sistemas de manufatura integrados por computador atuam principalmente como monitores de sistema, solucionadores de problemas e tomadores de decisão. As atividades cognitivas do supervisor humano em qualquer ambiente HAS são (1) planejar o que deve ser feito em um determinado período de tempo, (2) elaborar procedimentos (ou etapas) para atingir o conjunto de metas planejadas, (3) monitorar o progresso de processos (tecnológicos), (4) “ensinar” o sistema através de um computador humano-interativo, (5) intervir se o sistema se comportar de forma anormal ou se as prioridades de controle mudarem e (6) aprender através do feedback do sistema sobre o impacto de ações de supervisão (Sheridan 1987).

Projeto de sistema híbrido

As interações homem-máquina em um HAS envolvem a utilização de loops de comunicação dinâmica entre os operadores humanos e as máquinas inteligentes - um processo que inclui detecção e processamento de informações e iniciação e execução de tarefas de controle e tomada de decisão - dentro de uma determinada estrutura de alocação de funções entre humanos e máquinas. No mínimo, as interações entre as pessoas e a automação devem refletir a alta complexidade dos sistemas automatizados híbridos, bem como as características relevantes dos operadores humanos e os requisitos da tarefa. Portanto, o sistema automatizado híbrido pode ser formalmente definido como um quíntuplo na seguinte fórmula:

TEM = (T, U, C, E, I)

onde T = requisitos da tarefa (físicos e cognitivos); U = características do usuário (físicas e cognitivas); C = as características de automação (hardware e software, incluindo interfaces de computador); E = ambiente do sistema; I = um conjunto de interações entre os elementos acima.

O conjunto de interações I incorpora todas as interações possíveis entre T, U e C in E independentemente de sua natureza ou força de associação. Por exemplo, uma das interações possíveis pode envolver a relação dos dados armazenados na memória do computador com o conhecimento correspondente, se houver, do operador humano. As interações I pode ser elementar (ou seja, limitado a uma associação de um para um) ou complexo, como envolveria interações entre o operador humano, o software específico usado para realizar a tarefa desejada e a interface física disponível com o computador.

Os projetistas de muitos sistemas automatizados híbridos concentram-se principalmente na integração assistida por computador de máquinas sofisticadas e outros equipamentos como partes da tecnologia baseada em computador, raramente prestando muita atenção à necessidade primordial de integração humana efetiva dentro de tais sistemas. Portanto, atualmente, muitos dos sistemas integrados por computador (tecnológicos) não são totalmente compatíveis com as capacidades inerentes dos operadores humanos, expressas pelas habilidades e conhecimentos necessários para o controle e monitoramento eficazes desses sistemas. Tal incompatibilidade surge em todos os níveis de funcionamento humano, máquina e homem-máquina, e pode ser definida dentro de uma estrutura do indivíduo e de toda a organização ou instalação. Por exemplo, os problemas de integração de pessoas e tecnologia em empresas de manufatura avançada ocorrem no início do estágio de projeto do HAS. Esses problemas podem ser conceituados usando o seguinte modelo de integração de sistemas da complexidade das interações, I, entre os projetistas do sistema, D, operadores humanos, H, ou potenciais usuários do sistema e tecnologia, T:

Eu (H,T) = F [I (H, D), I (D, T)]

onde I representa interações relevantes que ocorrem em uma determinada estrutura do HAS, enquanto F indica relações funcionais entre designers, operadores humanos e tecnologia.

O modelo de integração do sistema acima destaca o fato de que as interações entre os usuários e a tecnologia são determinadas pelo resultado da integração das duas interações anteriores, ou seja, (1) aquelas entre designers HAS e usuários em potencial e (2) aquelas entre os designers e a tecnologia HAS (ao nível das máquinas e sua integração). Deve-se notar que, embora normalmente existam fortes interações entre os designers e a tecnologia, apenas alguns poucos exemplos de inter-relações igualmente fortes entre designers e operadores humanos podem ser encontrados.

Pode-se argumentar que, mesmo nos sistemas mais automatizados, a função humana permanece crítica para o desempenho bem-sucedido do sistema no nível operacional. Bainbridge (1983) identificou um conjunto de problemas relevantes para o funcionamento do HAS que se devem à própria natureza da automação, como se segue:

1. Operadores “fora do circuito de controle”. Os operadores humanos estão presentes no sistema para exercer o controle quando necessário, mas por estarem “fora do circuito de controle” eles falham em manter as habilidades manuais e o conhecimento do sistema de longo prazo que geralmente são necessários em caso de emergência.
2. “Imagem mental” desatualizada. Os operadores humanos podem não ser capazes de responder rapidamente às mudanças no comportamento do sistema se não estiverem acompanhando de perto os eventos de sua operação. Além disso, o conhecimento ou imagem mental dos operadores sobre o funcionamento do sistema pode ser inadequado para iniciar ou exercer as respostas necessárias.
3. Desaparecendo gerações de habilidades. Os novos operadores podem não conseguir adquirir conhecimentos suficientes sobre o sistema informatizado adquiridos com a experiência e, portanto, não poderão exercer um controle efetivo quando necessário.
4. Autoridade de automação. Se o sistema computadorizado foi implementado porque pode executar as tarefas necessárias melhor do que o operador humano, surge a pergunta: “Com base em que o operador deve decidir se as decisões corretas ou incorretas estão sendo tomadas pelos sistemas automatizados?”
5. Surgimento dos novos tipos de “erros humanos” devido à automação. Os sistemas automatizados conduzem a novos tipos de erros e, consequentemente, a acidentes que não podem ser analisados ​​no âmbito das técnicas tradicionais de análise.

Alocação de tarefas

Uma das questões importantes para o projeto HAS é determinar quantas e quais funções ou responsabilidades devem ser alocadas para os operadores humanos, e quais e quantas para os computadores. Geralmente, existem três classes básicas de problemas de alocação de tarefas que devem ser consideradas: (1) a alocação de tarefas supervisor-computador humano, (2) a alocação de tarefas humano-humano e (3) a alocação de tarefas computador-computador de supervisão. Idealmente, as decisões de alocação devem ser feitas por meio de algum procedimento de alocação estruturado antes que o projeto básico do sistema seja iniciado. Infelizmente, esse processo sistemático raramente é possível, pois as funções a serem alocadas podem precisar de um exame mais aprofundado ou devem ser executadas interativamente entre os componentes do sistema humano e da máquina - isto é, por meio da aplicação do paradigma de controle supervisório. A alocação de tarefas em sistemas automatizados híbridos deve se concentrar na extensão das responsabilidades de supervisão humana e do computador e deve considerar a natureza das interações entre o operador humano e os sistemas computadorizados de suporte à decisão. Os meios de transferência de informações entre as máquinas e as interfaces de entrada-saída humanas e a compatibilidade do software com as habilidades cognitivas de resolução de problemas humanos também devem ser considerados.

Nas abordagens tradicionais para o projeto e gerenciamento de sistemas automatizados híbridos, os trabalhadores eram considerados como sistemas de entrada e saída determinísticos, e havia uma tendência a desconsiderar a natureza teleológica do comportamento humano – isto é, o comportamento orientado a objetivos que depende da aquisição de conhecimento. informações relevantes e a seleção de objetivos (Goodstein et al. 1988). Para ser bem-sucedido, o projeto e o gerenciamento de sistemas automatizados híbridos avançados devem ser baseados na descrição das funções mentais humanas necessárias para uma tarefa específica. A abordagem da “engenharia cognitiva” (descrita mais abaixo) propõe que os sistemas homem-máquina (híbridos) precisam ser concebidos, projetados, analisados ​​e avaliados em termos de processos mentais humanos (ou seja, o modelo mental do operador dos sistemas adaptativos é levado em consideração conta). A seguir estão os requisitos da abordagem centrada no ser humano para o projeto e operação do HAS, conforme formulado por Corbett (1988):

1. Compatibilidade. A operação do sistema não deve exigir habilidades não relacionadas às habilidades existentes, mas deve permitir que as habilidades existentes evoluam. O operador humano deve inserir e receber informações que sejam compatíveis com a prática convencional para que a interface esteja de acordo com o conhecimento e habilidade prévios do usuário.
2. Transparência. Não se pode controlar um sistema sem entendê-lo. Portanto, o operador humano deve ser capaz de “ver” os processos internos do software de controle do sistema para facilitar o aprendizado. Um sistema transparente torna mais fácil para os usuários construir um modelo interno das funções de tomada de decisão e controle que o sistema pode executar.
3. Choque mínimo. O sistema não deve fazer nada que os operadores considerem inesperado à luz das informações disponíveis para eles, detalhando o estado atual do sistema.
4. controle de perturbação. Tarefas incertas (conforme definidas pela análise da estrutura de escolha) devem estar sob controle do operador humano com suporte de tomada de decisão por computador.
5. Falibilidade. As habilidades e conhecimentos implícitos dos operadores humanos não devem ser projetados fora do sistema. Os operadores nunca devem ser colocados em uma posição em que assistam impotentes ao software direcionar uma operação incorreta.
6. Reversibilidade do erro. O software deve fornecer informações suficientes para informar o operador humano sobre as prováveis ​​consequências de uma determinada operação ou estratégia.
7. Flexibilidade operacional. O sistema deve oferecer aos operadores humanos a liberdade de negociar requisitos e limites de recursos, mudando as estratégias operacionais sem perder o suporte do software de controle.

Engenharia Cognitiva de Fatores Humanos

A engenharia cognitiva de fatores humanos se concentra em como os operadores humanos tomam decisões no local de trabalho, resolvem problemas, formulam planos e aprendem novas habilidades (Hollnagel e Woods, 1983). Os papéis dos operadores humanos que funcionam em qualquer HAS podem ser classificados usando o esquema de Rasmussen (1983) em três categorias principais:

1. Comportamento baseado em habilidade é o desempenho sensório-motor executado durante atos ou atividades que ocorrem sem controle consciente como padrões de comportamento suaves, automatizados e altamente integrados. As atividades humanas que se enquadram nessa categoria são consideradas uma sequência de atos habilidosos compostos para uma determinada situação. O comportamento baseado em habilidades é, portanto, a expressão de padrões de comportamento mais ou menos armazenados ou instruções pré-programadas em um domínio de espaço-tempo.
2. Comportamento baseado em regras é uma categoria de desempenho orientada para um objetivo, estruturada pelo controle de feedforward por meio de uma regra ou procedimento armazenado - isto é, um desempenho ordenado que permite a composição de uma sequência de sub-rotinas em uma situação de trabalho familiar. A regra é normalmente selecionada a partir de experiências anteriores e reflete as propriedades funcionais que restringem o comportamento do ambiente. O desempenho baseado em regras é baseado em know-how explícito no que diz respeito ao emprego das regras relevantes. O conjunto de dados de decisão consiste em referências para reconhecimento e identificação de estados, eventos ou situações.
3. Comportamento baseado em conhecimento é uma categoria de desempenho controlado por metas, na qual a meta é explicitamente formulada com base no conhecimento do ambiente e nos objetivos da pessoa. A estrutura interna do sistema é representada por um “modelo mental”. Esse tipo de comportamento permite o desenvolvimento e teste de diferentes planos sob condições de controle desconhecidas e, portanto, incertas, e é necessário quando habilidades ou regras não estão disponíveis ou são inadequadas, de modo que a solução de problemas e o planejamento devem ser chamados.

Na concepção e gestão de um SHA, devem-se considerar as características cognitivas dos trabalhadores de forma a assegurar a compatibilidade do funcionamento do sistema com o modelo interno do trabalhador que descreve as suas funções. Consequentemente, o nível de descrição do sistema deve ser deslocado dos aspectos baseados em habilidades para os aspectos baseados em regras e conhecimento do funcionamento humano, e métodos apropriados de análise de tarefas cognitivas devem ser usados ​​para identificar o modelo do operador de um sistema. Uma questão relacionada ao desenvolvimento de um HAS é o projeto de meios de transmissão de informações entre o operador humano e os componentes do sistema automatizado, tanto no nível físico quanto no cognitivo. Tal transferência de informação deve ser compatível com os modos de informação utilizados em diferentes níveis de operação do sistema – isto é, visual, verbal, tátil ou híbrido. Essa compatibilidade informacional garante que diferentes formas de transferência de informações exigirão uma incompatibilidade mínima entre o meio e a natureza da informação. Por exemplo, uma exibição visual é melhor para transmissão de informações espaciais, enquanto a entrada auditiva pode ser usada para transmitir informações textuais.

Muitas vezes, o operador humano desenvolve um modelo interno que descreve a operação e a função do sistema de acordo com sua experiência, treinamento e instruções em conexão com o tipo de interface homem-máquina fornecido. À luz desta realidade, os projetistas de um HAS devem tentar construir nas máquinas (ou outros sistemas artificiais) um modelo das características físicas e cognitivas do operador humano – ou seja, a imagem do sistema do operador (Hollnagel e Woods 1983). . Os projetistas de um HAS também devem levar em consideração o nível de abstração na descrição do sistema, bem como várias categorias relevantes do comportamento do operador humano. Esses níveis de abstração para modelar o funcionamento humano no ambiente de trabalho são os seguintes (Rasmussen 1983): (1) forma física (estrutura anatômica), (2) funções físicas (funções fisiológicas), (3) funções generalizadas (mecanismos psicológicos e funções cognitivas). e processos afetivos), (4) funções abstratas (processamento de informações) e (5) propósito funcional (estruturas de valor, mitos, religiões, interações humanas). Esses cinco níveis devem ser considerados simultaneamente pelos projetistas para garantir o desempenho efetivo do HAS.

Projeto de software do sistema

Como o software de computador é um componente primário de qualquer ambiente HAS, o desenvolvimento de software, incluindo design, teste, operação e modificação, e questões de confiabilidade de software também devem ser considerados nos estágios iniciais do desenvolvimento HAS. Por este meio, deve-se ser capaz de reduzir o custo de detecção e eliminação de erros de software. É difícil, no entanto, estimar a confiabilidade dos componentes humanos de um HAS, devido às limitações em nossa capacidade de modelar o desempenho de tarefas humanas, a carga de trabalho relacionada e os erros potenciais. A carga mental excessiva ou insuficiente pode levar à sobrecarga de informações e ao tédio, respectivamente, e pode resultar na degradação do desempenho humano, levando a erros e ao aumento da probabilidade de acidentes. Os projetistas de um HAS devem empregar interfaces adaptativas, que utilizam técnicas de inteligência artificial, para resolver esses problemas. Além da compatibilidade homem-máquina, a questão da adaptabilidade homem-máquina entre si deve ser considerada para reduzir os níveis de estresse que surgem quando as capacidades humanas podem ser excedidas.

Devido ao alto nível de complexidade de muitos sistemas automatizados híbridos, a identificação de quaisquer riscos potenciais relacionados ao hardware, software, procedimentos operacionais e interações homem-máquina desses sistemas torna-se fundamental para o sucesso dos esforços voltados para a redução de lesões e danos aos equipamentos . Os riscos de segurança e saúde associados a sistemas automatizados híbridos complexos, como a tecnologia de fabricação integrada por computador (CIM), são claramente um dos aspectos mais críticos do projeto e operação do sistema.

Problemas de segurança do sistema

Ambientes automatizados híbridos, com seu potencial significativo para comportamento errático do software de controle sob condições de perturbação do sistema, criam uma nova geração de riscos de acidentes. À medida que os sistemas automatizados híbridos se tornam mais versáteis e complexos, os distúrbios do sistema, incluindo problemas de inicialização e desligamento e desvios no controle do sistema, podem aumentar significativamente a possibilidade de sérios perigos para os operadores humanos. Ironicamente, em muitas situações anormais, os operadores geralmente confiam no bom funcionamento dos subsistemas de segurança automatizados, uma prática que pode aumentar o risco de ferimentos graves. Por exemplo, um estudo de acidentes relacionados a mau funcionamento de sistemas de controle técnico mostrou que cerca de um terço das sequências de acidentes incluíram intervenção humana no circuito de controle do sistema perturbado.

Como as medidas de segurança tradicionais não podem ser facilmente adaptadas às necessidades dos ambientes HAS, as estratégias de controle de lesões e prevenção de acidentes precisam ser reconsideradas em vista das características inerentes a esses sistemas. Por exemplo, na área de tecnologia de fabricação avançada, muitos processos são caracterizados pela existência de quantidades substanciais de fluxos de energia que não podem ser facilmente antecipados pelos operadores humanos. Além disso, os problemas de segurança geralmente surgem nas interfaces entre os subsistemas ou quando as perturbações do sistema progridem de um subsistema para outro. De acordo com a International Organization for Standardization (ISO 1991), os riscos associados aos perigos devidos à automação industrial variam com os tipos de máquinas industriais incorporadas ao sistema de fabricação específico e com as formas como o sistema é instalado, programado, operado, mantido e reparado. Por exemplo, uma comparação de acidentes relacionados a robôs na Suécia com outros tipos de acidentes mostrou que os robôs podem ser as máquinas industriais mais perigosas usadas na indústria de manufatura avançada. A taxa estimada de acidentes para robôs industriais foi de um acidente grave por 45 robôs-ano, uma taxa mais alta do que para prensas industriais, que foi relatada como um acidente por 50 máquinas-ano. Deve-se notar aqui que as prensas industriais nos Estados Unidos foram responsáveis ​​por cerca de 23% de todas as fatalidades relacionadas a máquinas de usinagem no período de 1980 a 1985, com as prensas mecânicas classificadas em primeiro lugar em relação ao produto de frequência de gravidade para lesões não fatais.

No domínio da tecnologia de fabricação avançada, existem muitas peças móveis que são perigosas para os trabalhadores, pois mudam de posição de maneira complexa fora do campo visual dos operadores humanos. Os rápidos desenvolvimentos tecnológicos na manufatura integrada por computador criaram uma necessidade crítica de estudar os efeitos da tecnologia de manufatura avançada sobre os trabalhadores. A fim de identificar os perigos causados ​​por vários componentes de tal ambiente HAS, os acidentes anteriores precisam ser cuidadosamente analisados. Infelizmente, acidentes envolvendo o uso de robôs são difíceis de isolar de relatórios de acidentes relacionados a máquinas operadas por humanos e, portanto, pode haver uma alta porcentagem de acidentes não registrados. As regras de saúde e segurança ocupacional do Japão afirmam que “os robôs industriais não possuem atualmente meios confiáveis ​​de segurança e os trabalhadores não podem ser protegidos deles, a menos que seu uso seja regulamentado”. Por exemplo, os resultados da pesquisa realizada pelo Ministério do Trabalho do Japão (Sugimoto 1987) de acidentes relacionados a robôs industriais nas 190 fábricas pesquisadas (com 4,341 robôs em funcionamento) mostraram que houve 300 distúrbios relacionados a robôs, dos quais 37 casos de atos inseguros resultaram em alguns quase-acidentes, 9 foram acidentes que produziram lesões e 2 foram acidentes fatais. Os resultados de outros estudos indicam que a automação baseada em computador não aumenta necessariamente o nível geral de segurança, pois o hardware do sistema não pode ser protegido contra falhas apenas por funções de segurança no software do computador, e os controladores do sistema nem sempre são altamente confiáveis. Além disso, em um HAS complexo, não se pode depender exclusivamente de dispositivos de detecção de segurança para detectar condições perigosas e adotar estratégias adequadas de prevenção de perigos.

Efeitos da Automação na Saúde Humana

Conforme discutido acima, as atividades do trabalhador em muitos ambientes HAS são basicamente aquelas de controle de supervisão, monitoramento, suporte e manutenção do sistema. Essas atividades também podem ser classificadas em quatro grupos básicos, como segue: (1) tarefas de programação, ou seja, codificação das informações que guiam e dirigem a operação do maquinário, (2) monitoramento da produção HAS e componentes de controle, (3) manutenção dos componentes HAS para evitar ou aliviar o mau funcionamento do maquinário e (4) executar uma variedade de tarefas de suporte, etc. Muitas revisões recentes do impacto do HAS no bem-estar do trabalhador concluíram que, embora a utilização de um HAS na área de fabricação possa eliminar tarefas pesadas e perigosas , trabalhar em ambiente de HAS pode ser insatisfatório e estressante para os trabalhadores. As fontes de estresse incluíam o monitoramento constante exigido em muitas aplicações HAS, o escopo limitado das atividades alocadas, o baixo nível de interação do trabalhador permitido pelo projeto do sistema e os riscos de segurança associados à natureza imprevisível e incontrolável do equipamento. Ainda que alguns trabalhadores envolvidos em atividades de programação e manutenção sintam os elementos de desafio, que podem ter efeitos positivos no seu bem-estar, estes efeitos são muitas vezes compensados ​​pela natureza complexa e exigente destas atividades, bem como pela pressão exercida pela administração para concluir essas atividades rapidamente.

Embora em alguns ambientes HAS os operadores humanos sejam afastados das fontes tradicionais de energia (fluxo de trabalho e movimentação da máquina) durante as condições normais de operação, muitas tarefas em sistemas automatizados ainda precisam ser realizadas em contato direto com outras fontes de energia. Uma vez que o número de diferentes componentes do HAS está aumentando continuamente, deve-se dar ênfase especial ao conforto e segurança dos trabalhadores e ao desenvolvimento de dispositivos eficazes de controle de lesões, especialmente em vista do fato de que os trabalhadores não são mais capazes de acompanhar as sofisticação e complexidade de tais sistemas.

A fim de atender às necessidades atuais de controle de lesões e segurança do trabalhador em sistemas de manufatura integrados por computador, o Comitê ISO de Sistemas de Automação Industrial propôs um novo padrão de segurança intitulado “Segurança de Sistemas Integrados de Manufatura” (1991). Esta nova norma internacional, que foi desenvolvida em reconhecimento aos perigos específicos que existem em sistemas integrados de fabricação que incorporam máquinas industriais e equipamentos associados, visa minimizar as possibilidades de ferimentos ao pessoal durante o trabalho ou adjacente a um sistema integrado de fabricação. As principais fontes de perigos potenciais para os operadores humanos em CIM identificados por esta norma são mostrados na figura 1.

Figura 1. Principal fonte de perigos na manufatura integrada por computador (CIM) (depois da ISO 1991)

Erros humanos e do sistema

Em geral, os perigos em um HAS podem surgir do próprio sistema, de sua associação com outros equipamentos presentes no ambiente físico ou de interações do pessoal humano com o sistema. Um acidente é apenas um dos vários resultados das interações homem-máquina que podem surgir em condições perigosas; quase acidentes e incidentes de danos são muito mais comuns (Zimolong e Duda 1992). A ocorrência de um erro pode levar a uma destas consequências: (1) o erro passa despercebido, (2) o sistema pode compensar o erro, (3) o erro leva a uma avaria da máquina e/ou paragem do sistema ou (4 ) o erro leva a um acidente.

Uma vez que nem todo erro humano que resulta em um incidente crítico causará um acidente real, é apropriado distinguir ainda mais entre as categorias de resultados da seguinte forma: (1) um incidente inseguro (ou seja, qualquer ocorrência não intencional, independentemente de resultar em ferimentos, danos ou perda), (2) um acidente (ou seja, um evento inseguro que resulta em lesão, dano ou perda), (3) um incidente de dano (ou seja, um evento inseguro que resulta apenas em algum tipo de dano material), (4) um quase acidente ou “quase acidente” (ou seja, um evento inseguro no qual ferimentos, danos ou perdas foram fortuitamente evitados por uma margem estreita) e (5) a existência de potencial acidente (ou seja, eventos inseguros que poderiam ter resultado em ferimentos, danos , ou perda, mas, devido às circunstâncias, não resultou nem mesmo em um quase acidente).

Pode-se distinguir três tipos básicos de erro humano em um HAS:

1. deslizes e lapsos baseados em habilidades
2. erros baseados em regras
3. erros baseados no conhecimento.

Esta taxonomia, desenvolvida por Reason (1990), é baseada em uma modificação da classificação habilidade-regra-conhecimento de Rasmussen do desempenho humano conforme descrito acima. No nível baseado em habilidades, o desempenho humano é governado por padrões armazenados de instruções pré-programadas representadas como estruturas analógicas em um domínio de espaço-tempo. O nível baseado em regras é aplicável ao tratamento de problemas familiares nos quais as soluções são regidas por regras armazenadas (chamadas “produções”, uma vez que são acessadas ou produzidas conforme a necessidade). Essas regras exigem que certos diagnósticos (ou julgamentos) sejam feitos, ou certas ações corretivas sejam tomadas, uma vez que surgiram certas condições que exigem uma resposta adequada. A este nível, os erros humanos estão normalmente associados à classificação errada de situações, levando à aplicação da regra errada ou à recordação incorreta de julgamentos ou procedimentos consequentes. Erros baseados em conhecimento ocorrem em situações novas para as quais as ações devem ser planejadas “on-line” (em um determinado momento), usando processos analíticos conscientes e conhecimento armazenado. Erros neste nível surgem de limitações de recursos e conhecimento incompleto ou incorreto.

Os sistemas genéricos de modelagem de erros (GEMS) propostos por Reason (1990), que tentam localizar as origens dos tipos básicos de erros humanos, podem ser usados ​​para derivar a taxonomia geral do comportamento humano em um HAS. O GEMS busca integrar duas áreas distintas de pesquisa de erros: (1) deslizes e lapsos, nos quais as ações se desviam da intenção atual devido a falhas de execução e/ou falhas de armazenamento e (2) erros, nos quais as ações podem ocorrer de acordo com o planejado, mas o plano é inadequado para alcançar o resultado desejado.

Avaliação e Prevenção de Riscos em CIM

De acordo com a ISO (1991), a avaliação de risco em CIM deve ser realizada de forma a minimizar todos os riscos e servir como base para determinar objetivos e medidas de segurança no desenvolvimento de programas ou planos, tanto para criar um ambiente de trabalho seguro quanto para garantir também a segurança e a saúde do pessoal. Por exemplo, os riscos de trabalho em ambientes HAS baseados em manufatura podem ser caracterizados da seguinte forma: (1) o operador humano pode precisar entrar na zona de perigo durante a recuperação de distúrbios, serviços e tarefas de manutenção, (2) a zona de perigo é difícil de determinar, perceber e controlar, (3) o trabalho pode ser monótono e (4) os acidentes que ocorrem em sistemas de manufatura integrados por computador são frequentemente graves. Cada perigo identificado deve ser avaliado quanto ao seu risco, e medidas de segurança apropriadas devem ser determinadas e implementadas para minimizar esse risco. Os perigos também devem ser verificados em relação a todos os seguintes aspectos de qualquer processo: a própria unidade; a interação entre unidades individuais; as seções operacionais do sistema; e a operação do sistema completo para todos os modos e condições operacionais pretendidos, incluindo condições sob as quais os meios normais de proteção são suspensos para operações como programação, verificação, solução de problemas, manutenção ou reparo.

A fase de projeto da estratégia de segurança ISO (1991) para CIM inclui:

• especificação dos limites dos parâmetros do sistema
• aplicação de uma estratégia de segurança
• identificação de perigos
• avaliação dos riscos associados
• remoção dos perigos ou diminuição dos riscos tanto quanto praticável.

A especificação de segurança do sistema deve incluir:

• uma descrição das funções do sistema
• um layout de sistema e/ou modelo
• os resultados de uma pesquisa realizada para investigar a interação de diferentes processos de trabalho e atividades manuais
• uma análise das sequências do processo, incluindo a interação manual
• uma descrição das interfaces com transportadores ou linhas de transporte
• fluxogramas de processo
• planos de fundação
• planos para dispositivos de abastecimento e eliminação
• determinação do espaço necessário para abastecimento e descarte de material
• registros de acidentes disponíveis.

De acordo com a ISO (1991), todos os requisitos necessários para garantir uma operação segura do sistema CIM precisam ser considerados no projeto de procedimentos sistemáticos de planejamento de segurança. Isso inclui todas as medidas de proteção para reduzir efetivamente os perigos e requer:

• integração da interface homem-máquina
• definição precoce da posição de quem trabalha no sistema (no tempo e no espaço)
• consideração precoce de formas de reduzir o trabalho isolado
• consideração dos aspectos ambientais.

O procedimento de planejamento de segurança deve abordar, entre outros, as seguintes questões de segurança do CIM:

• Seleção dos modos de operação do sistema. O equipamento de controle deve ter provisões para pelo menos os seguintes modos de operação: (1) modo normal ou de produção (isto é, com todas as proteções normais conectadas e operando), (2) operação com algumas das proteções normais suspensas e (3) operação em qual sistema ou inicialização manual remota de situações perigosas é evitada (por exemplo, no caso de operação local ou de isolamento de energia ou bloqueio mecânico de condições perigosas).
• Treinamento, instalação, comissionamento e testes funcionais. Quando for necessário que o pessoal esteja na zona de perigo, as seguintes medidas de segurança devem ser fornecidas no sistema de controle: (1) manter para funcionar, (2) dispositivo de habilitação, (3) velocidade reduzida, (4) potência reduzida e (5 ) parada de emergência móvel.
• Segurança na programação, manutenção e reparo do sistema. Durante a programação, apenas o programador deve ser permitido no espaço protegido. O sistema deve ter procedimentos de inspeção e manutenção para garantir a operação pretendida contínua do sistema. O programa de inspeção e manutenção deve levar em consideração as recomendações do fornecedor do sistema e dos fornecedores de vários elementos dos sistemas. Desnecessário mencionar que o pessoal que realiza manutenção ou reparos no sistema deve ser treinado nos procedimentos necessários para executar as tarefas exigidas.
• eliminação de falhas. Quando a eliminação da falha for necessária dentro do espaço protegido, ela deve ser realizada após a desconexão segura (ou, se possível, após o acionamento de um mecanismo de bloqueio). Medidas adicionais contra iniciação errônea de situações perigosas devem ser tomadas. Onde possam ocorrer perigos durante a eliminação de falhas em seções do sistema ou nas máquinas de sistemas ou máquinas adjacentes, estas também devem ser retiradas de operação e protegidas contra partidas inesperadas. Por meio de instruções e sinais de advertência, deve-se chamar a atenção para a eliminação de falhas em componentes do sistema que não podem ser observados completamente.

Controle de Perturbação do Sistema

Em muitas instalações HAS utilizadas na área de fabricação integrada por computador, normalmente são necessários operadores humanos para fins de controle, programação, manutenção, pré-configuração, manutenção ou tarefas de solução de problemas. Distúrbios no sistema levam a situações que obrigam a entrada de trabalhadores nas áreas perigosas. A este respeito, pode-se supor que as perturbações continuam sendo a razão mais importante para a interferência humana no CIM, porque os sistemas serão frequentemente programados de fora das áreas restritas. Uma das questões mais importantes para a segurança do CIM é evitar distúrbios, pois a maioria dos riscos ocorre na fase de solução de problemas do sistema. A prevenção de perturbações é o objetivo comum no que diz respeito à segurança e à relação custo-eficácia.

Uma perturbação em um sistema CIM é um estado ou função de um sistema que se desvia do estado planejado ou desejado. Além da produtividade, as perturbações durante a operação de um CIM afetam diretamente a segurança das pessoas envolvidas na operação do sistema. Um estudo finlandês (Kuivanen 1990) mostrou que cerca de metade das perturbações na manufatura automatizada diminuem a segurança dos trabalhadores. As principais causas de distúrbios foram erros no projeto do sistema (34%), falhas de componentes do sistema (31%), erro humano (20%) e fatores externos (15%). A maioria das falhas das máquinas foi causada pelo sistema de controle, sendo que, no sistema de controle, a maioria das falhas ocorreu nos sensores. Uma forma eficaz de aumentar o nível de segurança das instalações CIM é reduzir o número de perturbações. Embora as ações humanas em sistemas perturbados impeçam a ocorrência de acidentes no ambiente de HAS, também contribuem para que ocorram. Por exemplo, um estudo de acidentes relacionados a mau funcionamento de sistemas de controle técnico mostrou que cerca de um terço das sequências de acidentes incluíram intervenção humana no circuito de controle do sistema perturbado.

As principais questões de pesquisa na prevenção de perturbações CIM dizem respeito a (1) principais causas de perturbações, (2) componentes e funções não confiáveis, (3) o impacto das perturbações na segurança, (4) o impacto das perturbações na função do sistema, ( 5) danos materiais e (6) reparos. A segurança do HAS deve ser planejada no início do estágio de projeto do sistema, com a devida consideração de tecnologia, pessoas e organização, e ser parte integrante do processo geral de planejamento técnico do HAS.

HAS Design: Desafios Futuros

Para garantir o máximo benefício dos sistemas automatizados híbridos, conforme discutido acima, é necessária uma visão muito mais ampla do desenvolvimento do sistema, baseada na integração de pessoas, organização e tecnologia. Três tipos principais de integração do sistema devem ser aplicados aqui:

1. integração de pessoas, garantindo uma comunicação eficaz entre eles
2. integração humano-computador, projetando interfaces adequadas e interação entre pessoas e computadores
3. integração tecnológica, garantindo interfaces e interações eficazes entre as máquinas.

Os requisitos mínimos de projeto para sistemas automatizados híbridos devem incluir o seguinte: (1) flexibilidade, (2) adaptação dinâmica, (3) capacidade de resposta aprimorada e (4) a necessidade de motivar as pessoas e fazer melhor uso de suas habilidades, julgamento e experiência . O acima também exige que as estruturas organizacionais, práticas de trabalho e tecnologias do HAS sejam desenvolvidas para permitir que pessoas em todos os níveis do sistema adaptem suas estratégias de trabalho à variedade de situações de controle de sistemas. Portanto, as organizações, práticas de trabalho e tecnologias de HAS terão que ser projetadas e desenvolvidas como sistemas abertos (Kidd 1994).

Um sistema automatizado híbrido aberto (OHAS) é um sistema que recebe entradas e envia saídas para seu ambiente. A ideia de sistema aberto pode ser aplicada não apenas a arquiteturas de sistemas e estruturas organizacionais, mas também a práticas de trabalho, interfaces humano-computador e relacionamento entre pessoas e tecnologias: pode-se citar, por exemplo, sistemas de agendamento, sistemas de controle e Sistemas de Suporte à Decisão. Um sistema aberto também é adaptativo quando permite às pessoas um grande grau de liberdade para definir o modo de operação do sistema. Por exemplo, na área de manufatura avançada, os requisitos de um sistema automatizado híbrido aberto podem ser atendidos por meio do conceito de Manufatura Humana e Integrada por Computador (HCIM). Nessa visão, o design da tecnologia deve abordar a arquitetura geral do sistema HCIM, incluindo o seguinte: (1) considerações da rede de grupos, (2) a estrutura de cada grupo, (3) a interação entre os grupos, (4) a natureza do software de suporte e (5) comunicação técnica e necessidades de integração entre os módulos de software de suporte.

O sistema automatizado híbrido adaptativo, ao contrário do sistema fechado, não restringe o que os operadores humanos podem fazer. O papel do designer de um HAS é criar um sistema que satisfaça as preferências pessoais do usuário e permita que seus usuários trabalhem da maneira que acharem mais apropriada. Um pré-requisito para permitir a entrada do usuário é o desenvolvimento de uma metodologia de design adaptável, ou seja, um OHAS que permita a tecnologia assistida por computador para sua implementação no processo de design. A necessidade de desenvolver uma metodologia para design adaptativo é um dos requisitos imediatos para concretizar o conceito OHAS na prática. Um novo nível de tecnologia adaptativa de controle de supervisão humana também precisa ser desenvolvido. Essa tecnologia deve permitir que o operador humano “veja através” do sistema de controle invisível do funcionamento do HAS – por exemplo, pela aplicação de um sistema de vídeo interativo de alta velocidade em cada ponto de controle e operação do sistema. Finalmente, uma metodologia para o desenvolvimento de um suporte baseado em computador inteligente e altamente adaptável de papéis humanos e funcionamento humano nos sistemas automatizados híbridos também é muito necessária.

Voltar