56. Предотвращение несчастных случаев
Редактор глав: Йорма Саари
Введение
Йорма Саари
Концепции анализа аварий
Кирстен Йоргенсен
Теория причин несчастных случаев
Абдул Рауф
Человеческий фактор в моделировании аварий
Анн-Мари Фейер и Энн М. Уильямсон
Модели аварий: гомеостаз риска
Джеральд Дж. С. Уайльд
Моделирование аварий
Эндрю Р. Хейл
Модели последовательности аварий
Рагнар Андерссон
Модели аварийных отклонений
Урбан Челлен
MAIM: Информационная модель аварии в Мерсисайде
Гарри С. Шеннон и Джон Дэвис
Принципы профилактики: подход общественного здравоохранения к снижению производственного травматизма
Гордон С. Смит и Марк А. Визи
Теоретические основы безопасности труда
Рейнальд Скиба
Принципы предотвращения: информация о безопасности
Марк Р. Лехто и Джеймс М. Миллер
Затраты на несчастный случай на производстве
Диего Андреони
Щелкните ссылку ниже, чтобы просмотреть таблицу в контексте статьи.
1. Таксономии для классификации отклонений
2. Матрица Хэддона применительно к автомобильным травмам
3. Десять стратегий противодействия Хэддона для строительства
4. Информация о безопасности, привязанная к последовательности аварий
5. Рекомендации в рамках выбранных систем оповещения
Наведите курсор на миниатюру, чтобы увидеть подпись к рисунку, щелкните, чтобы увидеть рисунок в контексте статьи.
57. Аудиты, проверки и расследования
Редактор глав: Йорма Саари
Аудиты безопасности и управленческие аудиты
Йохан Ван де Керхове
Анализ опасностей: модель причин аварии
Джоп Груневег
Аппаратные опасности
Карстен Д. Гроенберг
Анализ опасностей: организационные факторы
Урбан Челлен
Инспекция на рабочем месте и соблюдение нормативных требований
Энтони Линехан
Анализ и отчетность: расследование несчастных случаев
Мишель Монто
Отчетность и сбор статистики несчастных случаев
Кирстен Йоргенсен
Щелкните ссылку ниже, чтобы просмотреть таблицу в контексте статьи.
1. Страты в политике качества и безопасности
2. Элементы аудита безопасности PAS
3. Оценка методов контроля поведения
4. Общие типы отказов и определения
5. Понятия о феномене аварии
6. Переменные, характеризующие аварию
Наведите курсор на миниатюру, чтобы увидеть подпись к рисунку, щелкните, чтобы увидеть рисунок в контексте статьи.
58. Приложения безопасности
Редакторы глав: Кеннет Гереке и Чарльз Т. Поуп
Анализ системы
Ман Чунг Хо
Безопасность ручных и переносных электроинструментов
Министерство труда США — Управление по безопасности и гигиене труда; под редакцией Кеннета Гереке
Движущиеся части машин
Томас Бакстрём и Марианна Дёёш
Защита машины
Министерство труда США — Администрация по безопасности и гигиене труда; под редакцией Кеннета Гереке
Детекторы присутствия
Пол Шрайбер
Устройства для управления, изоляции и переключения энергии
Рене Трокслер
Приложения, связанные с безопасностью
Дитмар Райнерт и Карлхайнц Мефферт
Программное обеспечение и компьютеры: гибридные автоматизированные системы
Вальдемар Карвовский и Юзеф Зурада
Принципы проектирования систем безопасного управления
Георг Вондрачек
Принципы безопасности для станков с ЧПУ
Тони Реч, Гвидо Шмиттер и Альберт Марти
Принципы безопасности для промышленных роботов
Тони Реч, Гвидо Шмиттер и Альберт Марти
Технические требования к системам безопасности на основе электрических, электронных и программируемых электронных устройств
Джон Бразендейл и Рон Белл
опрокидывание
Бенгт Спрингфельдт
Падения с высоты
Жан Арто
Ограниченное пространство
Нил Макманус
Принципы предотвращения: обращение с материалами и внутреннее движение
Кари Хаккинен
Щелкните ссылку ниже, чтобы просмотреть таблицу в контексте статьи.
1. Возможные неисправности двухкнопочной схемы управления
2. Ограждения машин
3. Устройства
4. Способы подачи и выброса
5. Комбинации схемных структур в управлении машинами
6. Уровни полноты безопасности для систем защиты
7. Дизайн и разработка программного обеспечения
8. Уровень полноты безопасности: компоненты типа B
9. Требования целостности: архитектура электронных систем
10. Падения с высоты: Квебек, 1982–1987 гг.
11.Типовые системы защиты от падения и защиты от падения
12. Различия между предотвращением падения и защитой от падения
13. Образец формы для оценки опасных условий
14. Образец разрешения на въезд
Наведите курсор на миниатюру, чтобы увидеть подпись к рисунку, щелкните, чтобы увидеть рисунок в контексте статьи.
59. Политика безопасности и лидерство
Редактор глав: Йорма Саари
Политика безопасности, лидерство и культура
Дэн Петерсен
Культура безопасности и управление
Марсель Симар
Организационный климат и безопасность
Николь Дедоббелер и Франсуа Белан
Совместный процесс улучшения рабочего места
Йорма Саари
Методы принятия решений по безопасности
Терье Стен
Восприятие риска
Бернхард Зимолонг и Рюдигер Тримпоп
Принятие риска
Рюдигер Тримпоп и Бернхард Зимолонг
Щелкните ссылку ниже, чтобы просмотреть таблицу в контексте статьи.
1. Климатические меры безопасности
2. Туттава и другие различия в программе/технике
3. Пример лучших практик работы
4. Целевые показатели производительности на заводе по производству печатных красок
Наведите курсор на миниатюру, чтобы увидеть подпись к рисунку, щелкните, чтобы увидеть рисунок в контексте статьи.
60. Программы безопасности
Редактор главы: Йорма Саари
Исследование безопасности труда: обзор
Герберт И. Линн и Альфред А. Амендола
Государственные услуги
Энтони Линехан
Услуги по безопасности: консультанты
Дэн Петерсен
Реализация программы безопасности
Том Б. Лимон
Успешные программы безопасности
Том Б. Лимон
Программы поощрения безопасности
Джеральд Дж. С. Уайльд
Продвижение безопасности
Томас В. Планек
Практический пример: Кампании по охране труда и технике безопасности на национальном уровне в Индии
Кей Си Гупта
Щелкните ссылку ниже, чтобы просмотреть таблицу в контексте статьи.
1. Модели OBM и TQM мотивации сотрудников
2. Индийские фабрики: занятость и травмы
Наведите курсор на миниатюру, чтобы увидеть подпись к рисунку, щелкните, чтобы увидеть рисунок в контексте статьи.
В этой статье исследуется роль человеческого фактора в процессе причинно-следственной связи и рассматриваются различные превентивные меры (и их эффективность), с помощью которых можно контролировать ошибки человека, а также их применение в модели причинно-следственной связи. Человеческая ошибка является важной причиной как минимум 90% всех несчастных случаев на производстве. Хотя чисто технические ошибки и неконтролируемые физические обстоятельства также могут способствовать возникновению аварий, человеческий фактор является первостепенной причиной отказов. Повышение сложности и надежности машин означает, что доля причин несчастных случаев, приписываемых человеческому фактору, увеличивается по мере уменьшения абсолютного числа несчастных случаев. Человеческая ошибка также является причиной многих из тех инцидентов, которые, хотя и не приводят к травмам или смерти, тем не менее наносят значительный экономический ущерб компании. Как таковая, она представляет собой главную цель профилактики, и ее значение будет возрастать. Для эффективных систем управления безопасностью и программ выявления рисков важно иметь возможность эффективно идентифицировать человеческий компонент посредством использования общего анализа типов отказов.
Природа человеческих ошибок
Человеческая ошибка может рассматриваться как неспособность достичь цели так, как было запланировано, либо с локальной, либо с более широкой точки зрения, из-за непреднамеренного или преднамеренного поведения. Эти запланированные действия могут не привести к желаемым результатам по следующим четырем причинам:
1. Непреднамеренное поведение:
2. Намеренное поведение:
Отклонения можно разделить на три класса: ошибки, основанные на навыках, правилах и знаниях.
В некоторых ситуациях термин человеческое ограничение было бы более подходящим, чем человеческая ошибка. Существуют также пределы способности предвидеть будущее поведение сложных систем (Gleick, 1987; Casti, 1990).
Модель Ризона и Эмбри, Общая система моделирования ошибок (GEMS) (Reason 1990), учитывает механизмы исправления ошибок на уровнях навыков, правил и знаний. Основное предположение GEMS состоит в том, что повседневное поведение подразумевает рутинное поведение. Обычное поведение проверяется регулярно, но между этими петлями обратной связи поведение полностью автоматическое. Поскольку поведение основано на навыках, ошибки являются промахами. Когда обратная связь показывает отклонение от желаемой цели, применяется коррекция на основе правил. Проблема диагностируется на основе имеющихся симптомов, и при диагностике ситуации автоматически применяется правило исправления. Когда применяется неправильное правило, возникает ошибка.
Когда ситуация совершенно неизвестна, применяются правила, основанные на знаниях. Симптомы исследуются в свете знаний о системе и ее компонентах. Этот анализ может привести к возможному решению, реализация которого представляет собой случай поведения, основанного на знаниях. (Возможно также, что проблема не может быть решена данным способом и что необходимо применять дополнительные правила, основанные на знаниях.) Все ошибки на этом уровне являются ошибками. Нарушения совершаются, когда применяется определенное правило, которое, как известно, является неуместным: работник может думать, что применение альтернативного правила потребует меньше времени или, возможно, больше подходит для текущей, возможно, исключительной ситуации. Более злонамеренный класс нарушений включает саботаж, что не входит в предмет рассмотрения данной статьи. Когда организации пытаются устранить человеческие ошибки, они должны принимать во внимание, возникают ли ошибки на уровне навыков, правил или знаний, поскольку для каждого уровня требуются свои собственные методы (Groeneweg, 1996).
Влияние на поведение человека: обзор
Комментарий, часто сделанный в отношении конкретного несчастного случая, звучит так: «Возможно, человек не осознавал этого в то время, но если бы он или она не действовал определенным образом, несчастного случая бы не произошло». Большая часть мер по предотвращению несчастных случаев направлена на то, чтобы повлиять на важнейшую часть человеческого поведения, о которой идет речь в этом замечании. Во многих системах управления безопасностью предлагаемые решения и политика направлены на непосредственное влияние на поведение людей. Однако очень редко организации оценивают, насколько эффективны такие методы на самом деле. Психологи много думали о том, как можно лучше всего повлиять на поведение человека. В связи с этим будут изложены следующие шесть способов осуществления контроля над человеческими ошибками, и будет проведена оценка относительной эффективности этих методов в управлении человеческим поведением на долгосрочной основе (Wagenaar 1992). (См. таблицу 1.)
Таблица 1. Шесть способов побуждения к безопасному поведению и оценка их экономической эффективности
Нет. |
Способ воздействия |
Цена |
Долгосрочный эффект |
Оценивание |
1 |
Не призывайте к безопасному поведению, |
High |
Низкий |
Не очень |
2 |
Расскажите тем, кто участвует, что делать. |
Низкий |
Низкий |
Medium |
3 |
Наградить и наказать. |
Medium |
Medium |
Medium |
4 |
Повысить мотивацию и осведомленность. |
Medium |
Низкий |
Не очень |
5 |
Выбирайте обученный персонал. |
High |
Medium |
Medium |
6 |
Измените окружение. |
High |
High |
Хорошо |
Не пытайтесь вызвать безопасное поведение, а сделайте систему «защищенной от дурака».
Первый вариант — не делать ничего, чтобы влиять на поведение людей, а спроектировать рабочее место таким образом, чтобы все, что делает сотрудник, не приводило к каким-либо нежелательным результатам. Следует признать, что благодаря влиянию робототехники и эргономики конструкторы значительно улучшили удобство использования рабочего оборудования. Однако почти невозможно предвидеть все различные виды поведения, которые могут проявлять люди. Кроме того, рабочие часто рассматривают так называемые «надежные конструкции» как вызов «победить систему». Наконец, поскольку проектировщики сами являются людьми, даже очень тщательно спроектированное оборудование может иметь недостатки (например, Петроски, 1992). Дополнительные преимущества этого подхода по сравнению с существующими уровнями опасности незначительны, и в любом случае первоначальные затраты на проектирование и установку могут возрасти в геометрической прогрессии.
Расскажите тем, кто вовлечен, что делать
Другой вариант — проинструктировать всех работников по каждому отдельному виду деятельности, чтобы поставить их поведение под полный контроль руководства. Для этого потребуется обширная и не очень практичная система учета задач и управления инструкциями. Поскольку все поведение деавтоматизировано, это в значительной степени устранит промахи и упущения, пока инструкции не станут частью рутины и эффект не исчезнет.
Не очень помогает говорить людям, что то, что они делают, опасно — большинство людей прекрасно это знают, — потому что они будут делать свой собственный выбор в отношении риска, независимо от попыток убедить их в обратном. Их мотивация для этого будет заключаться в том, чтобы облегчить себе работу, сэкономить время, бросить вызов авторитету и, возможно, улучшить свои карьерные перспективы или получить какое-то финансовое вознаграждение. Инструктаж людей относительно дешев, и большинство организаций проводят инструктаж перед началом работы. Но вне такой системы обучения эффективность такого подхода оценивается как низкая.
Наградить и наказать
Хотя графики поощрений и наказаний являются мощными и очень популярными средствами управления человеческим поведением, они не лишены проблем. Вознаграждение работает лучше всего, только если получатель считает вознаграждение ценным в момент получения. Наказание за поведение, неподконтрольное сотруднику (промах), не будет эффективным. Например, повышение безопасности дорожного движения более рентабельно путем изменения условий, лежащих в основе поведения на дорогах, чем с помощью публичных кампаний или программ наказания и поощрения. Даже увеличение шансов быть «пойманным» не обязательно изменит поведение человека, поскольку возможности для нарушения правила все еще существуют, как и проблема успешного нарушения. Если ситуации, в которых люди работают, провоцируют такого рода нарушения, люди автоматически выберут нежелательное поведение, независимо от того, как их наказывают или вознаграждают. Эффективность этого подхода оценивается как средняя по качеству, так как обычно имеет краткосрочную эффективность.
Повысить мотивацию и осведомленность
Иногда считается, что люди становятся причиной несчастных случаев, потому что им не хватает мотивации или они не осознают опасности. Это предположение неверно, как показали исследования (например, Wagenaar and Groeneweg, 1987). Более того, даже если работники способны точно оценивать опасность, они не обязательно действуют соответствующим образом (Kruysse, 1993). Несчастные случаи случаются даже с людьми с лучшей мотивацией и высочайшей степенью осведомленности о безопасности. Существуют эффективные методы повышения мотивации и осведомленности, которые обсуждаются ниже в разделе «Изменение окружения». Этот вариант является деликатным: в отличие от сложности дальнейшей мотивации людей, почти слишком легко демотивировать сотрудников до такой степени, что это считается даже саботажем.
Эффекты программ повышения мотивации положительны только в сочетании с методами модификации поведения, такими как вовлечение сотрудников.
Выберите обученный персонал
Первая реакция на аварию часто заключается в том, что ее участники, должно быть, были некомпетентны. Оглядываясь назад, сценарии аварии кажутся простыми и легко предотвратимыми для человека, достаточно умного и должным образом обученного, но эта видимость обманчива: на самом деле вовлеченные сотрудники никак не могли предвидеть аварию. Поэтому лучшая подготовка и отбор не дадут желаемого эффекта. Тем не менее, базовый уровень подготовки является необходимым условием для безопасной работы. Не следует поощрять тенденцию в некоторых отраслях заменять опытный персонал неопытным и недостаточно обученным персоналом, поскольку все более сложные ситуации требуют мышления, основанного на правилах и знаниях, что требует уровня опыта, которым часто не обладает такой низкооплачиваемый персонал.
Негативным побочным эффектом очень хорошего инструктирования людей и выбора только самых высококлассных людей является то, что поведение может стать автоматическим и возникнут оплошности. Выбор дорогой, а эффект не выше среднего.
Измените окружающую среду
Большая часть поведения возникает как реакция на факторы рабочей среды: рабочие графики, планы, ожидания и требования руководства. Изменения в окружающей среде приводят к другому поведению. Прежде чем можно будет эффективно изменить рабочую среду, необходимо решить несколько проблем. Во-первых, необходимо определить факторы окружающей среды, вызывающие нежелательное поведение. Во-вторых, эти факторы необходимо контролировать. В-третьих, руководство должно разрешить обсуждение своей роли в создании неблагоприятной рабочей среды.
Практичнее влиять на поведение, создавая надлежащую рабочую среду. Проблемы, которые должны быть решены до того, как это решение может быть реализовано на практике, заключаются в следующем: (1) необходимо знать, какие факторы окружающей среды вызывают нежелательное поведение, (2) необходимо контролировать эти факторы и (3) необходимо учитывать предыдущие управленческие решения. рассмотрено (Wagenaar 1992; Groeneweg 1996). Все эти условия действительно могут быть выполнены, как будет показано в оставшейся части этой статьи. Эффективность модификации поведения может быть высокой, даже несмотря на то, что смена обстановки может обойтись довольно дорого.
Модель причин несчастного случая
Чтобы лучше понять контролируемые части процесса причинно-следственной связи, необходимо понимание возможных контуров обратной связи в информационной системе безопасности. На рисунке 1 представлена полная структура информационной системы безопасности, которая может стать основой управленческого контроля над человеческими ошибками. Это адаптированная версия системы, представленной Reason et al. (1989).
Рисунок 1. Информационная система безопасности
Расследование несчастного случая
При расследовании авиационных происшествий составляются подробные отчеты, а лица, принимающие решения, получают информацию о компоненте аварии, связанном с человеческим фактором. К счастью, во многих компаниях это становится все более и более устаревшим. Более эффективно анализировать «эксплуатационные нарушения», предшествующие авариям и инцидентам. Если авария описывается как эксплуатационное нарушение с последующими его последствиями, то соскальзывание с дороги является эксплуатационным нарушением, а смерть из-за того, что водитель не был пристегнут ремнем безопасности, является несчастным случаем. Барьеры могли быть установлены между эксплуатационным нарушением и аварией, но они не сработали, были нарушены или обойдены.
Аудит небезопасных действий
Неправомерное действие, совершенное работником, называется в этой статье «некондиционным действием», а не «небезопасным действием»: понятие «небезопасный», по-видимому, ограничивает применимость этого термина к безопасности, тогда как его можно применять и для например, к экологическим проблемам. Некачественные действия иногда фиксируются, но подробная информация о том, какие оплошности, ошибки и нарушения были допущены и почему они были допущены, почти никогда не возвращается на более высокие уровни управления.
Изучение душевного состояния сотрудника
Перед совершением недобросовестного действия лицо, причастное к нему, находилось в определенном душевном состоянии. Если бы эти психологические предвестники, такие как состояние спешки или грусти, можно было бы адекватно контролировать, люди не оказывались бы в состоянии ума, в котором они совершили бы нестандартный поступок. Поскольку эти состояния ума невозможно эффективно контролировать, такие предшественники рассматриваются как материал «черного ящика» (рис. 1).
Общие типы отказов
Блок GFT (общий тип отказа) на рисунке 1 представляет механизмы возникновения аварии - причины нестандартных действий и ситуаций. Поскольку эти некачественные действия нельзя контролировать напрямую, необходимо изменить рабочую среду. Рабочая среда определяется 11 такими механизмами (табл. 2). (В Нидерландах аббревиатура GFT уже существует в совершенно другом контексте и связана с экологически безопасным удалением отходов, и во избежание путаницы используется другой термин: основные факторы риска (BRF) (Роггевен, 1994).)
Таблица 2. Общие типы отказов и их определения
Общие сбои |
Определения |
1. Дизайн (нем.) |
Отказы из-за плохой конструкции всего предприятия, а также отдельных |
2. Аппаратное обеспечение (HW) |
Отказы из-за неудовлетворительного состояния или отсутствия оборудования и инструментов |
3. Процедуры (PR) |
Сбои из-за некачественного выполнения операционных процедур с |
4. Ошибка принудительного исполнения |
Неудачи из-за некачественной рабочей среды, с |
5. Ведение домашнего хозяйства (Гонконг) |
Неудачи из-за плохой уборки |
6. Обучение (ТР) |
Неудачи из-за недостаточной подготовки или недостаточного опыта |
7. Несовместимые цели (IG) |
Неудачи из-за плохой безопасности и внутреннего благополучия |
8. Коммуникация (СО) |
Сбои из-за низкого качества или отсутствия линий связи |
9. Организация (ИЛИ) |
Неудачи из-за того, как проект управляется |
10. Техническое обслуживание |
Неисправности из-за некачественного проведения технического обслуживания |
11. Защиты (ЗФ) |
Отказы из-за некачественной защиты от опасных |
Поле GFT предшествует поле «лица, принимающие решения», поскольку эти люди в значительной степени определяют, насколько хорошо управляется GFT. Задача руководства состоит в том, чтобы контролировать рабочую среду, управляя 11 GFT, тем самым косвенно контролируя возникновение человеческих ошибок.
Все эти GFT могут незаметно способствовать несчастным случаям, допуская нежелательные комбинации ситуаций и действий, увеличивая вероятность того, что определенные люди совершат нестандартные действия, и не предоставляя средства для прерывания уже происходящих аварийных последовательностей.
Есть два GFT, которые требуют дальнейшего объяснения: управление техническим обслуживанием и защита.
Управление техническим обслуживанием (ММ)
Поскольку управление обслуживанием представляет собой комбинацию факторов, которые можно найти в других GFT, оно, строго говоря, не является отдельной GFT: этот тип управления принципиально не отличается от других функций управления. Его можно рассматривать как отдельный вопрос, поскольку техническое обслуживание играет важную роль во многих сценариях аварий и поскольку в большинстве организаций существует отдельная функция технического обслуживания.
Защита (ЗФ)
Категория защиты также не является истинным GFT, так как она не связана с самим процессом причинения аварии. Этот GFT связан с тем, что происходит после операционное нарушение. Оно не порождает ни психологических состояний ума, ни нестандартных поступков само по себе. Это реакция, которая следует за сбоем из-за действия одного или нескольких GFT. Хотя действительно верно, что система управления безопасностью должна быть сосредоточена на контролируемых звеньях цепочки причин авиационных происшествий. до и не после нежелательного инцидента, тем не менее, понятие средств защиты можно использовать для описания предполагаемой эффективности барьеров безопасности после того, как произошло нарушение, и для демонстрации того, как они не смогли предотвратить фактическую аварию.
Менеджерам нужна структура, которая позволит им связать выявленные проблемы с превентивными действиями. Меры, принимаемые на уровне барьеров безопасности или нестандартных действий, по-прежнему необходимы, хотя эти меры никогда не могут быть полностью успешными. Доверять барьерам «последней линии» — значит доверять факторам, которые в значительной степени находятся вне контроля руководства. Руководство не должно пытаться управлять такими неконтролируемыми внешними устройствами, а вместо этого должно попытаться сделать свои организации более безопасными на всех уровнях.
Измерение уровня контроля над человеческими ошибками
Установление наличия GFT в организации позволит следователям авиационных происшествий определить слабые и сильные стороны организации. Обладая такими знаниями, можно анализировать несчастные случаи и устранять или смягчать их причины, а также выявлять структурные недостатки в компании и устранять их до того, как они действительно приведут к несчастному случаю.
Расследование несчастного случая
Задача аналитика авиационных происшествий состоит в том, чтобы выявить способствующие факторы и классифицировать их. Количество раз, когда способствующий фактор идентифицируется и классифицируется с точки зрения GFT, указывает степень, в которой этот GFT присутствует. Это часто делается с помощью контрольного списка или программы компьютерного анализа.
Можно и желательно комбинировать профили разных, но похожих типов аварий. Выводы, основанные на совокупности расследований авиационных происшествий за относительно короткое время, гораздо более надежны, чем выводы, сделанные на основе исследования, в котором профиль авиационного происшествия основан на отдельном событии. Пример такого комбинированного профиля представлен на рисунке 2, на котором показаны данные, относящиеся к четырем случаям одного типа аварии.
Рисунок 2. Профиль типа аварии
Некоторые из GFT - дизайн, процедуры и несовместимые цели - неизменно высоко оцениваются во всех четырех конкретных авариях. Это означает, что в каждой аварии были выявлены факторы, связанные с этими GFT. Что касается профиля аварии 1, дизайн представляет собой проблему. Ведение домашнего хозяйства, хотя и является основной проблемной областью при аварии 1, представляет собой лишь незначительную проблему, если анализируется не только первая авария. Предлагается расследовать около десяти подобных типов аварий и объединить их в профиль, прежде чем принимать далеко идущие и, возможно, дорогостоящие корректирующие меры. Таким образом, идентификация способствующих факторов и последующая классификация этих факторов могут быть выполнены очень надежным способом (Van der Schrier, Groeneweg and van Amerongen 1994).
Упреждающее выявление GFT внутри организации
Наличие GFT можно количественно определить заранее, независимо от возникновения аварий или инцидентов. Это делается путем поиска индикаторов присутствия этого GFT. Индикатор, используемый для этой цели, является ответом на простой вопрос «да» или «нет». Нежелательный ответ указывает на то, что что-то не работает должным образом. Пример вопроса-индикатора: «За последние три месяца ходили ли вы на встречу, которая оказалась отмененной?» Если сотрудник отвечает на вопрос утвердительно, это не обязательно означает опасность, но свидетельствует о недостатке одного из ОФТ — общения. Однако если на достаточное количество вопросов, проверяющих данный GFT, даны ответы, указывающие на нежелательную тенденцию, это сигнал для руководства о том, что оно не имеет достаточного контроля над этим GFT.
Чтобы построить профиль безопасности системы (SSP), необходимо ответить на 20 вопросов для каждого из 11 GFT. Каждому GFT присваивается оценка от 0 (низкий уровень контроля) до 100 (высокий уровень контроля). Оценка рассчитывается относительно среднего показателя по отрасли в определенной географической области. Пример этой процедуры подсчета очков представлен в рамке.
Индикаторы выбираются псевдослучайным образом из базы данных с несколькими сотнями вопросов. Никакие два последующих контрольных списка не содержат общих вопросов, и вопросы составлены таким образом, чтобы охватить каждый аспект GFT. Отказ оборудования может, например, быть результатом либо отсутствия оборудования, либо дефекта оборудования. Оба аспекта должны быть охвачены в контрольном списке. Распределение ответов на все вопросы известно, а контрольные списки сбалансированы для одинаковой сложности.
Можно сравнивать баллы, полученные с помощью разных контрольных списков, а также баллы, полученные для разных организаций или отделов или одних и тех же подразделений за определенный период времени. Были проведены всесторонние проверочные тесты, чтобы убедиться, что все вопросы в базе данных верны и что все они указывают на измеряемый GFT. Более высокие баллы указывают на более высокий уровень контроля, то есть на большее количество вопросов было дано «желаемый» ответ. Оценка 70 указывает на то, что эта организация входит в число лучших 30 (т. е. 100 минус 70) сопоставимых организаций в этой отрасли. Хотя 100 баллов не обязательно означают, что эта организация имеет полный контроль над GFT, это означает, что в отношении этого GFT организация является лучшей в отрасли.
Пример SSP показан на рис. 3. Слабые стороны организации 1, как показано столбиками на диаграмме, — это процедуры, несовместимые цели и условия, приводящие к ошибкам, поскольку они оцениваются ниже среднего по отрасли, как показано темным цветом. серая зона. Оценки по ведению домашнего хозяйства, оборудованию и защите очень хорошие в организации 1. На первый взгляд, эта хорошо оборудованная и опрятная организация со всеми установленными устройствами безопасности кажется безопасным местом для работы. Оценка организации 2 точно соответствует среднему показателю по отрасли. Серьезных недостатков нет, и, хотя оценки по оборудованию, ведению хозяйства и защите ниже, эта компания справляется (в среднем) с человеческим фактором при авариях лучше, чем Организация 1. Согласно модели причинно-следственной связи, Организация 2 безопаснее, чем Организация 1. Организация XNUMX, хотя это не обязательно будет очевидно при сравнении организаций в «традиционных» аудитах.
Рисунок 3. Пример профиля безопасности системы
Если бы этим организациям пришлось решать, куда распределить свои ограниченные ресурсы, приоритет отдавался бы четырем областям с GFT ниже среднего. Однако нельзя сделать вывод, что, поскольку другие оценки GFT столь благоприятны, ресурсы могут быть безопасно изъяты из их содержания, поскольку именно эти ресурсы, скорее всего, в первую очередь поддерживают их на таком высоком уровне.
Выводы
В этой статье затронута тема человеческой ошибки и предотвращения несчастных случаев. Обзор литературы, касающейся контроля компонента человеческой ошибки в авариях, дал набор из шести способов, с помощью которых можно попытаться повлиять на поведение. Только одно из них, реструктуризация среды или изменение поведения с целью уменьшения количества ситуаций, в которых люди могут совершить ошибку, имеет достаточно благоприятный эффект в хорошо развитой промышленной организации, где уже было предпринято много других попыток. Со стороны руководства потребуется мужество, чтобы признать, что эти неблагоприятные ситуации существуют, и мобилизовать ресурсы, необходимые для осуществления изменений в компании. Остальные пять вариантов не представляют собой полезных альтернатив, поскольку они будут иметь незначительный эффект или не будут иметь никакого эффекта и будут весьма дорогостоящими.
«Управление контролируемым» — ключевой принцип, поддерживающий подход, представленный в этой статье. GFT должны быть обнаружены, атакованы и уничтожены. 11 GFT — это механизмы, которые оказались частью процесса причинно-следственной связи. Десять из них направлены на предотвращение нарушений в работе и одна (защиты) - на предотвращение перерастания нарушения в эксплуатацию в аварию. Устранение воздействия ОФП имеет прямое отношение к устранению причин, способствующих авариям. Вопросы в контрольных списках направлены на измерение «состояния работоспособности» данного GFT как с общей точки зрения, так и с точки зрения безопасности. Безопасность рассматривается как неотъемлемая часть обычных операций: выполнение работы так, как она должна выполняться. Эта точка зрения соответствует последним подходам к управлению, ориентированным на качество. Наличие политики, процедур и инструментов управления не является главной задачей управления безопасностью: вопрос скорее в том, действительно ли эти методы используются, понимаются и соблюдаются.
Подход, описанный в этой статье, концентрируется на системных факторах и способах, которыми управленческие решения могут быть преобразованы в небезопасные условия на рабочем месте, в отличие от общепринятого мнения о том, что внимание должно быть направлено на отдельных работников, совершающих небезопасные действия, их отношение, мотивы и восприятие риска.
Показатель уровня контроля вашей организации над GFT «Связь».
В этом поле представлен список из 20 вопросов. На вопросы этого списка ответили сотрудники более 250 организаций Западной Европы. Эти организации работали в разных областях, от химических компаний до нефтеперерабатывающих заводов и строительных компаний. Обычно эти вопросы разрабатываются индивидуально для каждого филиала. Этот список служит только в качестве примера, чтобы показать, как инструмент работает для одного из GFT. Были отобраны только те вопросы, которые оказались настолько «общими», что применимы не менее чем в 80% отраслей.
В «реальной жизни» сотрудники должны были бы не только отвечать на вопросы (анонимно), но и мотивировать свои ответы. Недостаточно ответить «Да», например, на индикаторе «Приходилось ли вам работать в последние 4 недели по устаревшей методике?» Работник должен будет указать, что это за процедура и при каких условиях она должна применяться. Эта мотивация служит двум целям: повышает надежность ответов и обеспечивает руководство информацией, на основании которой оно может действовать.
Осторожность также необходима при интерпретации процентиля: в реальном измерении каждая организация будет сопоставлена с репрезентативной выборкой организаций, связанных с филиалами, для каждого из 11 GFT. Распределение процентилей происходит с мая 1995 г., и это распределение немного меняется с течением времени.
Как измерить «уровень контроля»
Отвечайте на все 20 индикаторов, имея в виду свою ситуацию, и помните об ограничениях по времени в вопросах. Некоторые из вопросов могут быть неприменимы в вашей ситуации; ответьте на них «на». Возможно, вы не сможете ответить на некоторые вопросы; ответьте на них знаком вопроса «?».
После того, как вы ответили на все вопросы, сравните свои ответы с эталонными ответами. Вы получаете балл за каждый «правильно» ответ на вопрос.
Сложите количество точек вместе. Подсчитайте процент правильно отвеченных вопросов, разделив количество баллов на количество вопросов, на которые вы ответили «Да» или «Нет». «На» и «?» ответы не учитываются. Результатом является процент от 0 до 100.
Измерение можно сделать более надежным, если большее количество людей будет отвечать на вопросы и усреднить их баллы по уровням или функциям в организации или сопоставимых отделах.
Двадцать вопросов о GFT «Связь»
Возможные ответы на вопросы: Y = Да; Н = Нет; на = не применимо; ? = не знаю.
Справочные ответы:
1 = Н; 2 = Н; 3 = Н; 4 = Y; 5 = Н; 6 = Н; 7 = Н; 8 = Н; 9 = Н; 10 = Н; 11 = Н; 12 = Н; 13 = У; 14 = Н; 15 = Н; 16 = У; 17 = Н; 18 = Н; 19 = Д; 20 = Н.
Оценка GFT «Общение»
Процентный балл = (a/b) x 100
в котором a = нет. правильно ответили на вопросы
в котором b = нет. вопросов с ответами «Д» или «Н».
Твой счет % |
процентиль |
% |
Равно или лучше |
0-10 |
0-1 |
100 |
99 |
11-20 |
2-6 |
98 |
94 |
21-30 |
7-14 |
93 |
86 |
31-40 |
15-22 |
85 |
78 |
41-50 |
23-50 |
79 |
50 |
51-60 |
51-69 |
49 |
31 |
61-70 |
70-85 |
30 |
15 |
71-80 |
86-97 |
14 |
3 |
81-90 |
98-99 |
2 |
1 |
91-100 |
99-100 |
В этой статье рассматриваются «машинные» опасности, характерные для приспособлений и аппаратных средств, используемых в производственных процессах, связанных с сосудами под давлением, технологическим оборудованием, мощными машинами и другими потенциально опасными операциями. В этой статье не рассматриваются опасности для рабочих, связанные с действиями и поведением отдельных лиц, например, поскальзывание на рабочих поверхностях, падение с высоты и опасности, связанные с использованием обычных инструментов. В этой статье основное внимание уделяется опасностям, связанным с машинами, которые характерны для производственной среды. Поскольку эти опасности угрожают всем присутствующим и могут даже представлять угрозу для соседей и внешней среды, методы анализа и средства предотвращения и контроля аналогичны методам, используемым для борьбы с рисками для окружающей среды от производственной деятельности.
Машинные опасности
Оборудование хорошего качества очень надежно, и большинство отказов вызвано вторичными эффектами, такими как пожар, коррозия, неправильное использование и так далее. Тем не менее, аппаратное обеспечение может быть выявлено в некоторых авариях, потому что неисправный аппаратный компонент часто является наиболее заметным или заметным звеном в цепи событий. Хотя термин аппаратные средства используется в широком смысле, наглядные примеры отказов аппаратуры и их непосредственного «окружения» при возникновении аварий взяты с производственных рабочих мест. Типичные кандидаты для исследования «машинных» опасностей включают, но не ограничиваются следующим:
Эффекты энергии
Опасности, связанные с оборудованием, могут включать неправильное использование, ошибки конструкции или частые перегрузки, и, соответственно, их анализ, смягчение или предотвращение могут идти по совершенно разным направлениям. Однако физические и химические формы энергии, которые не поддаются контролю со стороны человека, часто лежат в основе аппаратных опасностей. Таким образом, один очень общий метод выявления опасностей, связанных с оборудованием, заключается в поиске энергий, которые обычно контролируются с помощью фактического оборудования или механизмов, таких как сосуд высокого давления, содержащий аммиак или хлор. В других методах в качестве отправной точки используется цель или предполагаемая функция фактического оборудования, а затем анализируются вероятные последствия сбоев и отказов. Например, мост, не выполняющий свою основную функцию, подвергает находящихся на мосту субъектов риску падения; другие последствия обрушения моста будут вторичными в результате падения элементов, либо конструктивных частей моста, либо объектов, расположенных на мосту. Далее по цепочке последствий могут возникать производные эффекты, связанные с функциями других частей системы, которые зависели от надлежащего выполнения мостом своей функции, например, прерывание движения транспортных средств для экстренного реагирования в связи с другим происшествием.
Помимо концепций «контролируемая энергия» и «предназначенная функция», опасные вещества должны рассматриваться с помощью таких вопросов, как «Как агент X может быть выпущен из сосудов, резервуаров или трубопроводных систем и как может быть произведен агент Y?» (один или оба могут быть опасными). Агент X может быть сжатым газом или растворителем, а агент Y может быть чрезвычайно токсичным диоксином, образованию которого способствуют «правильные» температуры в некоторых химических процессах, или он может быть получен путем быстрого окисления в результате пожара. . Однако возможные опасности в сумме представляют собой гораздо больше, чем просто риски опасных веществ. Могут существовать условия или воздействия, которые позволяют присутствию определенного элемента оборудования привести к вредным последствиям для людей.
Промышленная рабочая среда
Опасности, связанные с машинами, также связаны с факторами нагрузки или стресса, которые могут быть опасными в долгосрочной перспективе, например:
Эти опасности можно распознать и принять меры предосторожности, поскольку опасные условия уже существуют. Они не зависят от каких-либо структурных изменений в оборудовании, которые могут привести к вредному результату, или от какого-то особого события, вызывающего повреждение или травму. Долгосрочные опасности также имеют определенные источники в рабочей среде, но их необходимо выявлять и оценивать путем наблюдения за рабочими и рабочими местами, а не только путем анализа конструкции и функций оборудования.
Опасное оборудование или машины обычно являются исключительными и довольно редко встречаются в здоровой рабочей среде, но их нельзя полностью избежать. Несколько видов неконтролируемой энергии, такие как следующие агенты риска, может быть непосредственным следствием аппаратной неисправности:
Агенты риска
Движущиеся объекты. Падающие и летящие предметы, потоки жидкости и струи жидкости или пара, подобные перечисленным, часто являются первыми внешними последствиями отказа оборудования или оборудования, и на них приходится большая часть несчастных случаев.
Химические субстанции. Химические опасности также способствуют несчастным случаям на рабочем месте, а также воздействуют на окружающую среду и население. Аварии в Севезо и Бхопале сопровождались выбросами химических веществ, от которых пострадало множество людей, а многие промышленные пожары и взрывы выбрасывали в атмосферу химические вещества и пары. Дорожно-транспортные происшествия с участием грузовиков, доставляющих бензин или химические вещества, или других опасных грузов объединяют два агента риска - движущиеся объекты и химические вещества.
Электромагнитная энергия. Электрические и магнитные поля, рентгеновские и гамма-лучи — все это проявления электромагнетизма, но их часто рассматривают отдельно, поскольку они встречаются при довольно разных обстоятельствах. Однако опасности электромагнетизма имеют некоторые общие черты: поля и радиация проникают в тело человека, а не просто контактируют с областью применения, и их нельзя ощутить непосредственно, хотя очень большие интенсивности вызывают нагрев пораженных частей тела. Магнитные поля создаются протеканием электрического тока, а интенсивные магнитные поля обнаруживаются вблизи больших электродвигателей, оборудования для электродуговой сварки, электролизных аппаратов, металлургических заводов и т. д. Электрические поля сопутствуют электрическому напряжению, и даже обычные сетевые напряжения от 200 до 300 вольт вызывают накопление грязи в течение нескольких лет, видимый признак существования поля, эффект, также известный в связи с высоковольтными линиями электропередач, телевизионными кинескопами. , компьютерные мониторы и так далее.
Электромагнитные поля в основном находятся довольно близко к их источникам, но электромагнитные излучение является путешественником на дальние расстояния, о чем свидетельствуют радар и радиоволны. Электромагнитное излучение рассеивается, отражается и затухает, когда оно проходит через пространство и встречается с промежуточными объектами, поверхностями, различными веществами и атмосферами и т.п.; поэтому его интенсивность снижается несколькими способами.
Общий характер источников электромагнитной (ЭМ) опасности:
Ядерное излучение. Опасности, связанные с ядерным излучением, вызывают особую озабоченность у работников атомных электростанций и предприятий, работающих с ядерными материалами, таких как производство топлива и переработка, транспортировка и хранение радиоактивных материалов. Источники ядерного излучения также используются в медицине и некоторых отраслях промышленности для измерения и контроля. Одно из наиболее распространенных применений - пожарная сигнализация / детекторы дыма, в которых используется излучатель альфа-частиц, такой как америций, для мониторинга атмосферы.
Ядерные опасности в основном связаны с пятью факторами:
Опасности возникают из-за радиоактивный процессы ядерного деления и распада радиоактивных материалов. Этот вид излучения испускается реакторными процессами, реакторным топливом, материалом замедлителя реактора, газообразными продуктами деления, которые могут образовываться, и некоторыми конструкционными материалами, которые активируются под воздействием радиоактивных выбросов, возникающих при работе реактора.
Другие агенты риска. Другие классы агентов риска, которые высвобождают или излучают энергию, включают:
Вызов аппаратных опасностей
Оба формата внезапный и постепенный переход от контролируемого — или «безопасного» — состояния к состоянию с повышенной опасностью может произойти в результате следующих обстоятельств, которые можно контролировать с помощью соответствующих организационных средств, таких как опыт пользователей, обучение, навыки, наблюдение и тестирование оборудования:
Поскольку правильная эксплуатация не может надежно компенсировать неправильный дизайн и установку, важно учитывать весь процесс, от выбора и проектирования до установки, использования, обслуживания и тестирования, чтобы оценить фактическое состояние и условия аппаратного обеспечения.
Опасный случай: газовый баллон под давлением
Газ может содержаться в подходящих сосудах для хранения или транспортировки, таких как газовые и кислородные баллоны, используемые сварщиками. Часто с газом работают под высоким давлением, что позволяет значительно увеличить емкость хранения, но с более высоким риском аварии. Ключевым случайным явлением при хранении газа под давлением является внезапное образование отверстия в резервуаре, что приводит к следующим результатам:
Развитие такой аварии зависит от таких факторов:
Содержимое резервуара может быть высвобождено почти сразу или через некоторое время, что может привести к различным сценариям, от выброса свободного газа из разорванного резервуара до умеренных и довольно медленных выделений из небольших проколов.
Поведение различных газов в случае утечки
При разработке моделей расчета выбросов наиболее важно определить следующие условия, влияющие на потенциальное поведение системы:
Точные расчеты, относящиеся к процессу выброса, когда сжиженный газ выходит из отверстия в виде струи, а затем испаряется (или, альтернативно, сначала превращается в туман из капель), затруднены. Спецификация более позднего рассеивания образующихся облаков также является сложной задачей. Необходимо учитывать перемещение и рассеивание выбросов газа, образует ли газ видимые или невидимые облака и поднимается ли газ или остается на уровне земли.
Хотя водород является легким газом по сравнению с любой атмосферой, газообразный аммиак (NH3, с молекулярной массой 17.0) поднимется в обычной воздухоподобной кислородно-азотной атмосфере при тех же температуре и давлении. Хлор (Cl2, с молекулярной массой 70.9) и бутан (C4H10, мол. вес.58) являются примерами химических веществ, газовая фаза которых плотнее воздуха даже при температуре окружающей среды. Ацетилен (С2H2, мол. вес. 26.0) имеет плотность около 0.90 г/л, приближаясь к плотности воздуха (1.0 г/л), что означает, что в рабочей среде вытекающий сварочный газ не будет иметь ярко выраженной тенденции всплывать вверх или опускаться вниз; поэтому он может легко смешиваться с атмосферой.
Но аммиак, выпущенный из сосуда под давлением в виде жидкости, сначала остынет вследствие его испарения, а затем может выйти через несколько стадий:
Даже облако легкого газа не может сразу подняться от выброса жидкого газа; сначала он может образовать туман — облако капель — и остаться у земли. Движение газового облака и постепенное смешивание/разбавление с окружающей атмосферой зависит от погодных параметров и от окружающей среды — закрытой территории, открытой местности, домов, движения транспорта, присутствия населения, рабочих и так далее.
Отказ бака
Последствия выхода из строя цистерны могут быть пожаром и взрывом, удушьем, отравлением и удушьем, как показывает опыт работы с системами добычи и обращения с газами (пропан, метан, азот, водород и т. с использованием ацетилена и кислорода). То, что на самом деле инициирует образование пробоины в резервуаре, сильно влияет на «поведение» пробоины, что, в свою очередь, влияет на отток газа, и имеет решающее значение для эффективности профилактических мер. Сосуд высокого давления спроектирован и изготовлен так, чтобы выдерживать определенные условия использования и воздействия на окружающую среду, а также для работы с определенным газом или, возможно, с несколькими газами. Фактические возможности резервуара зависят от его формы, материалов, сварки, защиты, использования и климата; поэтому при оценке его пригодности в качестве контейнера для опасного газа необходимо учитывать технические характеристики разработчика, историю резервуара, проверки и испытания. Критические области включают сварные швы, используемые на большинстве сосудов высокого давления; точки, в которых такие приспособления, как входы, выходы, опоры и инструменты, присоединяются к сосуду; плоские торцы цилиндрических цистерн, таких как железнодорожные цистерны; и другие аспекты еще менее оптимальных геометрических форм.
Сварочные швы исследуют визуально, рентгеновскими лучами или разрушающими испытаниями образцов, так как в них могут быть выявлены локальные дефекты, скажем, в виде пониженной прочности, которые могут поставить под угрозу общую прочность сосуда, а то и явиться пусковым моментом для острой цистерны. отказ.
На прочность резервуара влияет история использования резервуара - в первую очередь процессы нормального износа, а также царапины и коррозионные воздействия, характерные для конкретной отрасли и области применения. Другие исторические параметры, представляющие особый интерес, включают:
Конструкционный материал — стальной лист, алюминиевый лист, бетон для ненапорных применений и т. д. — может подвергаться такому воздействию, которое не всегда можно проверить, не перегружая или не разрушая оборудование во время испытаний.
Дело о несчастном случае: Фликсборо
Весьма поучительным является взрыв большого облака циклогексана во Фликсборо (Великобритания) в 1974 г., в результате которого погибло 28 человек и был нанесен значительный ущерб фабрике. Пусковым событием стал обрыв временной трубы, замещающей реакторную установку. Авария была «вызвана» поломкой фурнитуры, но при ближайшем рассмотрении выяснилось, что поломка произошла из-за перегрузки, а временная конструкция действительно не соответствовала своему прямому назначению. После двух месяцев эксплуатации труба подверглась изгибающим усилиям из-за небольшого повышения давления до 10 бар (106 Па) содержание циклогексана примерно при 150°С. Два сильфона между трубой и соседними реакторами лопнули, и вылилось от 30 до 50 тонн циклогексана, который вскоре воспламенился, вероятно, в печи на некотором расстоянии от места утечки. (См. рис. 1.) Очень читаемый отчет об этом случае можно найти у Kletz (1988).
Рисунок 1. Временное соединение между резервуарами во Фликсборо.
Анализ рисков
Методы, разработанные для выявления рисков, которые могут иметь отношение к оборудованию, химическому процессу или определенной операции, называются «анализом опасностей». Эти методы задают такие вопросы, как: «Что может пойти не так?» — Может быть, это серьезно? и «Что можно с этим сделать?» Различные методы проведения анализа часто комбинируются для достижения разумного охвата, но ни один такой набор не может сделать больше, чем руководство или помощь умной команде аналитиков в их определениях. Основные трудности с анализом опасности заключаются в следующем:
Для получения пригодных для использования оценок риска в этих обстоятельствах важно строго определить объем и уровень «амбициозности», соответствующие проводимому анализу; например, ясно, что для целей страхования не требуется информация того же рода, что и для целей проектирования, или для планирования схем защиты и создания аварийных мероприятий. Вообще говоря, картина риска должна быть заполнена путем смешивания эмпирических методов (например, статистики) с дедуктивными рассуждениями и творческим воображением.
Различные инструменты оценки рисков — даже компьютерные программы для анализа рисков — могут оказаться очень полезными. Исследование опасностей и работоспособности (HAZOP) и анализ видов и последствий отказов (FMEA) являются широко используемыми методами исследования опасностей, особенно в химической промышленности. Отправной точкой метода HAZOP является отслеживание возможных сценариев риска на основе набора ключевых слов; для каждого сценария необходимо определить вероятные причины и последствия. На втором этапе пытаются найти средства для снижения вероятности или смягчения последствий тех сценариев, которые считаются неприемлемыми. Обзор метода HAZOP можно найти у Charsley (1995). Метод FMEA задает ряд вопросов «что, если» для каждого возможного компонента риска, чтобы тщательно определить, какие виды отказов могут существовать, а затем определить их влияние на производительность системы; такой анализ будет проиллюстрирован в демонстрационном примере (для газовой системы), представленном далее в этой статье.
Деревья отказов и деревья событий и режимы логического анализа, соответствующие структурам причин аварий и вероятностным рассуждениям, никоим образом не являются специфическими для анализа аппаратных опасностей, поскольку они являются общими инструментами для оценки рисков системы.
Отслеживание аппаратных опасностей на промышленном предприятии
Для выявления возможных опасностей можно запросить информацию о конструкции и функционировании:
Отбирая и перерабатывая такую информацию, аналитики формируют представление о самом объекте риска, его функциях и фактическом использовании. Там, где вещи еще не построены или недоступны для осмотра, важные наблюдения не могут быть сделаны, и оценка должна полностью основываться на описаниях, намерениях и планах. Такая оценка может показаться довольно плохой, но на самом деле большинство практических оценок риска проводится таким образом либо для того, чтобы получить официальное одобрение заявок на новое строительство, либо для сравнения относительной безопасности альтернативных проектных решений. Будут проводиться консультации с реальными жизненными процессами для получения информации, не показанной на формальных диаграммах или описанной в устной форме в ходе интервью, а также для проверки того, что информация, полученная из этих источников, является фактической и представляет реальные условия. К ним относятся следующие:
Большую часть этой дополнительной информации, особенно пути проникновения, могут обнаружить только творческие, опытные наблюдатели со значительным опытом, а часть информации практически невозможно отследить с помощью карт и диаграмм. Скрытые пути обозначают непреднамеренные и непредвиденные взаимодействия между системами, когда работа одной системы влияет на состояние или работу другой системы иными путями, чем функциональные. Обычно это происходит, когда функционально разные детали расположены рядом друг с другом, или (например) просачивающееся вещество капает на оборудование под ним и вызывает отказ. Другой способ действия скрытого пути может включать введение в систему неправильных веществ или частей с помощью инструментов или инструментов во время эксплуатации или обслуживания: предполагаемые структуры и их предполагаемые функции изменяются через скрытые пути. К синфазные отказы один означает, что определенные условия, такие как наводнение, молния или перебои в подаче электроэнергии, могут нарушить работу нескольких систем одновременно, что может привести к неожиданно большим отключениям электроэнергии или авариям. Как правило, стараются избежать эффектов скрытого пути и отказов общего режима за счет правильной компоновки и введения расстояния, изоляции и разнообразия в рабочих операциях.
Случай анализа опасностей: доставка газа с корабля в резервуар
На рис. 2 показана система доставки газа с транспортного судна в резервуар для хранения. Утечка может появиться где угодно в этой системе: на корабле, в линии электропередачи, в резервуаре или в выходной линии; учитывая два резервуара-цистерны, утечка где-то на линии может оставаться активной в течение нескольких часов.
Рис. 2. Линия передачи сжиженного газа с корабля в резервуар для хранения.
Наиболее важными компонентами системы являются следующие:
Резервуар для хранения с большим запасом сжиженного газа ставится на первое место в этом списке, потому что трудно остановить утечку из резервуара в короткие сроки. Второй пункт в списке — соединение с судном — имеет решающее значение, поскольку утечки в трубе или шланге, ослабленные соединения или муфты с изношенными прокладками, а также различия между различными судами могут привести к утечке продукта. Гибкие детали, такие как шланги и сильфоны, более важны, чем жесткие детали, и требуют регулярного обслуживания и осмотра. Предохранительные устройства, такие как клапан сброса давления в верхней части резервуара и два аварийных запорных клапана, имеют решающее значение, поскольку они должны использоваться для выявления скрытых или развивающихся неисправностей.
До этого момента ранжирование компонентов системы по их важности с точки зрения надежности носило только общий характер. Теперь в аналитических целях внимание будет обращено на отдельные функции системы, главной из которых, конечно же, является перемещение сжиженного газа с корабля в резервуар для хранения до тех пор, пока присоединенный судовой резервуар не опустеет. Главной опасностью является утечка газа, возможные сопутствующие механизмы которой включают один или несколько из следующих:
Применение метода FMEA
Центральная идея FMEA-подхода или анализа «что, если» заключается в том, чтобы явно записывать для каждого компонента системы виды его отказов и для каждого отказа находить возможные последствия для системы и окружающей среды. Для стандартных компонентов, таких как резервуар, труба, клапан, насос, расходомер и т. д., режимы отказов соответствуют общим закономерностям. Например, в случае клапана режимы отказа могут включать следующие условия:
Для конвейера режимы отказа будут учитывать такие элементы, как:
Последствия утечек кажутся очевидными, но иногда наиболее важными последствиями могут быть не первые последствия: что произойдет, например, если клапан заклинит в полуоткрытом положении? Запорный клапан на линии подачи, который не открывается полностью по запросу, задержит процесс наполнения бака, что не является опасным последствием. Но если состояние «зависание в полуоткрытом состоянии» возникает одновременно с запросом на закрытие, когда резервуар почти полон, может произойти переполнение (если только аварийный запорный клапан не будет успешно активирован). В правильно спроектированной и эксплуатируемой системе вероятность заедания обоих этих клапанов одновременно будет держаться на достаточно низком уровне.
Очевидно, что предохранительный клапан, не срабатывающий по требованию, может означать катастрофу; фактически можно с полным основанием утверждать, что скрытые отказы постоянно угрожают всем устройствам безопасности. Клапаны сброса давления, например, могут выйти из строя из-за коррозии, грязи или краски (как правило, из-за плохого обслуживания), а в случае сжиженного газа такие дефекты в сочетании со снижением температуры при утечке газа могут привести к образованию льда и тем самым уменьшить или, возможно, остановить поток материала через предохранительный клапан. Если предохранительный клапан не срабатывает по требованию, в резервуаре или в соединенных с ним системах резервуаров может возрасти давление, что в конечном итоге приведет к другим утечкам или разрыву резервуара.
Для простоты приборы на рис. 2 не показаны; конечно, будут инструменты, связанные с давлением, расходом и температурой, которые являются важными параметрами для мониторинга состояния системы, соответствующие сигналы передаются на пульты оператора или в диспетчерскую для целей управления и контроля. Кроме того, будут предусмотрены линии снабжения, отличные от тех, которые предназначены для транспортировки материалов, — для электричества, гидравлики и т. д. — и дополнительные устройства безопасности. Всесторонний анализ должен также пройти через эти системы и найти виды отказов. и эффекты этих компонентов также. В частности, детективная работа по синфазным эффектам и скрытым путям требует построения целостной картины основных компонентов системы, органов управления, приборов, расходных материалов, операторов, графиков работы, технического обслуживания и т.д.
Примеры эффектов синфазного сигнала, которые следует учитывать в связи с газовыми системами, рассматриваются в следующих вопросах:
Даже отлично спроектированная система с резервированием и независимыми линиями электроснабжения может страдать от некачественного обслуживания, когда, например, клапан и его резервный клапан (в нашем случае аварийный запорный клапан) остались в неправильном состоянии после аварии. тестовое задание. Заметным синфазным эффектом в системе обращения с аммиаком является сама ситуация с утечкой: умеренная утечка может сделать все ручные операции на компонентах установки довольно затруднительным — и отложенными — из-за развертывания необходимой аварийной защиты.
Обзор
Компоненты оборудования очень редко являются виновниками возникновения аварий; скорее есть Коренные причины можно найти в других звеньях цепи: неправильные концепции, плохой дизайн, ошибки обслуживания, ошибки оператора, ошибки управления и так далее. Уже приводилось несколько примеров конкретных условий и действий, которые могут привести к развитию отказа; широкий набор таких агентов будет учитывать следующее:
Контроль аппаратных опасностей в рабочей среде требует анализа всех возможных причин и соблюдения условий, которые признаны критическими для реальных систем. Последствия этого для организации программ управления рисками рассматриваются в других статьях, но, как ясно показывает приведенный выше список, мониторинг и контроль состояния оборудования могут быть необходимы вплоть до выбора концепций и проектов для программ управления рисками. избранные системы и процессы.
Благодаря индустриализации рабочие организовались на фабриках, поскольку стало возможным использование источников энергии, таких как паровой двигатель. По сравнению с традиционным ремеслом механизированное производство, располагающее источниками большей энергии, представляло новые риски несчастных случаев. По мере увеличения количества энергии рабочие были выведены из-под прямого контроля над этими энергиями. Решения, влияющие на безопасность, часто принимались на уровне руководства, а не теми, кто непосредственно подвергался этим рискам. На этом этапе индустриализации стала очевидной необходимость управления безопасностью.
В конце 1920-х Генрих сформулировал первую всеобъемлющую теоретическую основу для управления безопасностью, которая заключалась в том, что безопасность следует искать через управленческие решения, основанные на выявлении и анализе причин аварий. На этом этапе развития управления безопасностью несчастные случаи объяснялись отказами на уровне системы «рабочий-машина», то есть небезопасными действиями и небезопасными условиями.
Впоследствии были разработаны различные методики идентификации и оценки рисков аварий. С MORT (Management Oversight and Risk Tree) акцент сместился на более высокие порядки управления рисками несчастных случаев, то есть на контроль условий на уровне управления. Инициатива разработки МОРТ была выдвинута в конце 1960-х годов Управлением энергетических исследований и разработок США, которое хотело улучшить свои программы безопасности, чтобы уменьшить свои потери из-за аварий.
Схема МОРТ и основные принципы
Намерение MORT состояло в том, чтобы сформулировать идеальную систему управления безопасностью, основанную на синтезе лучших элементов программы безопасности и методов управления безопасностью, доступных на тот момент. Поскольку принципы, лежащие в основе инициативы MORT, были применены к современному уровню техники в области управления безопасностью, в значительной степени неструктурированная литература и опыт по безопасности приобрели форму аналитического дерева. Первая версия дерева была опубликована в 1971 г. На рис. 1 показаны основные элементы версии дерева, опубликованной Джонсоном в 1980 г. Дерево также появляется в измененном виде в более поздних публикациях по теме концепции МОРТ ( см., например, Knox and Eicher 1992).
Рис. 1. Вариант аналитического дерева МОРТ
Схема МОРТ
MORT используется в качестве практического инструмента при расследовании аварий и оценке существующих программ безопасности. Верхнее событие дерева на рисунке 1 (Johnson, 1980) представляет потери (имеющиеся или потенциальные) в результате несчастного случая. Ниже этого главного события находятся три основных ветви: конкретные упущения и упущения (S), упущения и упущения руководства (M) и предполагаемые риски (R). R-ветвь состоит из предполагаемых рисков, которые представляют собой события и условия, известные руководству, которые были оценены и приняты на надлежащем уровне управления. Другие события и состояния, которые выявляются в результате оценок, следующих за S- и M-ветвями, обозначаются как «менее адекватные» (LTA).
Ассоциация S-ветвь фокусируется на событиях и условиях фактического или потенциального возникновения. (Вообще время показано при чтении слева направо, а последовательность причин показана при чтении снизу вверх.) Стратегии Хэддона (1980) по предотвращению несчастных случаев являются ключевыми элементами в этой области. Событием называется несчастный случай, когда цель (человек или объект) подвергается неконтролируемой передаче энергии и получает повреждения. В С-филиале МОРТ аварийность предотвращается через барьеры. Существует три основных типа барьеров: (1) барьеры, которые окружают и ограничивают источник энергии (опасность), (2) барьеры, защищающие цель, и (3) барьеры, которые разделяют опасность и цель физически, во времени или пространстве. . Эти различные типы барьеров обнаруживаются в развитии ветвей ниже случайного события. Мелиорация относится к действиям, предпринятым после аварии для ограничения убытков.
На следующем уровне S-ветви распознаются факторы, относящиеся к различным фазам жизненного цикла промышленной системы. Это фаза проекта (дизайн и план), запуск (оперативная готовность) и эксплуатация (надзор и техническое обслуживание).
Ассоциация М-ветка поддерживает процесс, в котором конкретные результаты расследования авиационных происшествий или оценки программы безопасности становятся более общими. Таким образом, события и состояния S-ветви часто имеют свои аналоги в М-ветви. При работе с системой М-ветви мышление аналитика расширяется до всей системы управления. Таким образом, любые рекомендации повлияют и на многие другие возможные сценарии аварий. Наиболее важные функции управления безопасностью можно найти в M-ветви: определение политики, реализация и последующие действия. Это те же основные элементы, которые мы находим в принципах обеспечения качества серии ISO 9000, опубликованных Международной организацией по стандартизации (ISO).
Когда ветви диаграммы МОРТ детально проработаны, в них присутствуют элементы из таких разных областей, как анализ рисков, анализ человеческого фактора, информационные системы безопасности и организационный анализ. Всего диаграмма МОРТ охватывает около 1,500 основных событий.
Применение диаграммы МОРТ
Как указано, диаграмма MORT имеет два непосредственных применения (Knox and Eicher 1992): (1) для анализа управленческих и организационных факторов, связанных с произошедшей аварией, и (2) для оценки или аудита программы безопасности в связи со значительной аварией. что потенциально может произойти. Диаграмма MORT служит инструментом скрининга при планировании анализов и оценок. Он также используется в качестве контрольного списка для сравнения реальных условий с идеализированной системой. В этом приложении MORT облегчает проверку полноты анализа и позволяет избежать личных предубеждений.
По сути, MORT состоит из набора вопросов. Критерии, которыми руководствуются суждения относительно того, являются ли конкретные события и условия удовлетворительными или менее чем адекватными, выводятся из этих вопросов. Несмотря на директивный дизайн вопросов, суждения аналитика отчасти субъективны. Таким образом, стало важным обеспечить адекватное качество и степень интерсубъективности среди анализов MORT, выполненных разными аналитиками. Например, в США доступна программа обучения для сертификации аналитиков МОРТ.
Опыт работы с МОРТ
Литература по оценке MORT немногочисленна. Джонсон сообщает о значительных улучшениях в полноте расследования авиационных происшествий после введения МОРТ (Johnson, 1980). Недостатки на надзорном и управленческом уровнях выявлялись более систематически. Опыт также был получен при оценке применения MORT в финской промышленности (Ruuhilehto 1993). В финских исследованиях были выявлены некоторые ограничения. MORT не поддерживает идентификацию непосредственных рисков из-за отказов и нарушений. Кроме того, в концепцию MORT не встроена возможность установки приоритетов. Следовательно, результаты анализа МОРТ нуждаются в дальнейшей оценке, чтобы воплотить их в корректирующие действия. Наконец, опыт показывает, что МОРТ отнимает много времени и требует участия специалистов.
Помимо способности сосредоточиться на организационных и управленческих факторах, МОРТ имеет еще одно преимущество, заключающееся в том, что он связывает безопасность с обычной производственной деятельностью и общим управлением. Таким образом, применение MORT будет способствовать общему планированию и контролю, а также поможет снизить частоту производственных сбоев.
Связанные методы и методы управления безопасностью
С введением концепции МОРТ в начале 1970-х годов в Соединенных Штатах началась программа развития. Координатором этой программы был Центр развития системной безопасности в Айдахо-Фолс. В результате этой программы были разработаны различные методы и приемы, связанные с MORT, в таких областях, как анализ человеческого фактора, информационные системы безопасности и анализ безопасности. Ранним примером метода, вытекающего из программы разработки MORT, является Программа оперативной готовности (Nertney 1975). Данная программа внедряется при разработке новых промышленных систем и модификации существующих. Цель состоит в том, чтобы гарантировать, что с точки зрения управления безопасностью новая или модифицированная система будет готова к моменту ввода в эксплуатацию. Состояние оперативной готовности предполагает, что в аппаратуре, персонале и процедурах новой системы установлены необходимые барьеры и средства контроля. Другим примером элемента программы MORT является анализ первопричин на основе MORT (Cornelison 1989). Он используется для выявления основных проблем управления безопасностью в организации. Это делается путем сопоставления конкретных результатов анализа MORT с 27 различными общими проблемами управления безопасностью.
Хотя МОРТ не предназначен для непосредственного использования при сборе информации во время расследования происшествий и проверок безопасности, в Скандинавии вопросы МОРТ послужили основой для разработки диагностического инструмента, используемого для этой цели. Она называется «Техника управления безопасностью и анализа организации», или SMORT (Кьеллен и Тинманнсвик, 1989). SMORT-анализ продвигается назад поэтапно, начиная с конкретной ситуации и заканчивая общим уровнем управления. Отправной точкой (уровень 1) является аварийная последовательность или ситуация риска. На уровне 2 тщательно изучаются организация, системное планирование и технические факторы, связанные с повседневной работой. Последующие уровни включают проектирование новых систем (уровень 3) и более высокие функции управления (уровень 4). Выводы на одном уровне распространяются на уровни выше. Например, результаты, относящиеся к последовательности аварий и ежедневным операциям, используются при анализе организации компании и процедур работы над проектом (уровень 3). Результаты уровня 3 не повлияют на безопасность существующих операций, но могут применяться при планировании новых систем и модификаций. SMORT также отличается от MORT способом определения результатов. На уровне 1 это наблюдаемые события и условия, отклоняющиеся от общепринятых норм. Когда организационные и управленческие факторы вводятся в анализ на уровнях 2–4, выводы идентифицируются посредством оценочных суждений, сделанных аналитической группой, и проверяются с помощью процедуры контроля качества. Цель состоит в том, чтобы обеспечить взаимное понимание организационных проблем.
Обзор
MORT играет важную роль в разработках в области управления безопасностью с 1970-х годов. Можно проследить влияние MORT на такие области, как литература по исследованию безопасности, литература по управлению безопасностью и инструментам аудита, а также законодательство о саморегулировании и внутреннем контроле. Несмотря на это влияние, его ограничения должны быть тщательно рассмотрены. MORT и связанные с ним методы являются нормативными в том смысле, что они предписывают, как должны быть организованы и выполнены программы управления безопасностью. Идеалом является хорошо структурированная организация с четкими и реалистичными целями и четко определенными линиями ответственности и полномочий. Таким образом, MORT лучше всего подходит для крупных и бюрократических организаций.
Инспекционные системы
Аудит определяется как «структурированный процесс сбора независимой информации об эффективности, результативности и надежности всей системы управления безопасностью и составления планов корректирующих действий» (Успешное управление охраной труда и промышленной безопасностью, 1991 г.).
Таким образом, инспекция рабочего места является не только завершающим этапом разработки программы управления безопасностью, но и непрерывным процессом ее поддержания. Его можно проводить только там, где создана должным образом разработанная система управления безопасностью. Такая система сначала предусматривает официальное заявление руководства о политике, в котором излагаются его принципы создания здоровой и безопасной рабочей среды, а затем устанавливаются механизмы и структуры внутри организации, с помощью которых эти принципы будут эффективно реализованы. Кроме того, руководство должно быть привержено обеспечению адекватных ресурсов, как людских, так и финансовых, для поддержки механизмов и структур системы. После этого должно быть детальное планирование безопасности и здоровья, а также определение измеримых целей. Должны быть разработаны системы, гарантирующие, что показатели безопасности и гигиены труда на практике можно сравнивать с установленными нормами и с предыдущими достижениями. Только при наличии и функционировании этой структуры можно применять эффективную систему управленческого аудита.
Полные системы управления безопасностью и здоровьем могут быть разработаны, произведены и внедрены за счет ресурсов крупных предприятий. Кроме того, существует ряд систем управления безопасностью, которые можно получить у консультантов, страховых компаний, государственных учреждений, ассоциаций и специализированных компаний. Предприятие должно решить, должно ли оно создавать свою собственную систему или пользоваться внешними услугами. Обе альтернативы способны дать превосходные результаты, если есть искреннее стремление руководства усердно применять их и заставить их работать. Но их успех во многом зависит от качества системы аудита.
Инспекции управления
Процедура проверки должна быть такой же кропотливой и объективной, как и финансовая проверка компании. Инспекция должна сначала определить, правильно ли отражена политика компании в отношении безопасности и здоровья в структурах и механизмах, созданных для ее реализации; если нет, то инспекция может порекомендовать переоценить основную политику или предложить корректировки или изменения существующих структур и механизмов. Аналогичный процесс должен применяться к планированию безопасности и охраны здоровья, к обоснованности норм постановки целей и к измерению производительности. Результаты любой проверки должны быть рассмотрены высшим руководством предприятия, а любые корректировки должны быть одобрены и реализованы через этот орган.
На практике нежелательно, а часто и нецелесообразно проводить полную проверку всех функций системы и их применения во всех отделах предприятия одновременно. Чаще всего процедура проверки концентрируется на одном элементе общей системы управления безопасностью на всей станции или, альтернативно, на применении всех элементов в одном отделе или даже подотделе. Но цель состоит в том, чтобы охватить все функции во всех отделах за согласованный период, чтобы подтвердить результаты.
В этом отношении управленческий контроль следует рассматривать как непрерывный процесс бдительности. Потребность в объективности явно имеет большое значение. Если инспекции проводятся внутри компании, то должна быть стандартизированная процедура инспекции; инспекции должны проводиться персоналом, прошедшим надлежащую подготовку для этой цели; а лица, выбранные в качестве инспекторов, не должны оценивать отделы, в которых они обычно работают, и не должны оценивать любую другую работу, в которой они лично участвуют. Там, где полагаются на консультантов, эта проблема сводится к минимуму.
Многие крупные компании приняли этот тип системы, либо разработанной внутри компании, либо полученной в качестве частной схемы. Когда системы тщательно отслеживаются от заявления о политике до проверки, обратной связи и корректирующих действий, должно произойти существенное снижение уровня несчастных случаев, что является основным обоснованием этой процедуры, и повышение прибыльности, что является желательным вторичным результатом.
Инспекции инспекций
Правовая база, предназначенная для обеспечения защиты людей на работе, должна надлежащим образом управляться и эффективно применяться для достижения цели регулирующего законодательства. Поэтому большинство стран приняли широкую модель инспекционной службы, обязанностью которой является обеспечение соблюдения законодательства в области безопасности и гигиены труда. Многие страны рассматривают вопросы безопасности и гигиены труда как часть полного пакета трудовых отношений, охватывающего трудовые отношения, заработную плату и соглашения об отпуске, а также социальные льготы. В этой модели проверки безопасности и гигиены труда являются одним из элементов обязанностей инспектора труда. Также существует другая модель, в которой государственная инспекция занимается исключительно законодательством по безопасности и гигиене труда, поэтому инспекции на рабочих местах концентрируются исключительно на этом аспекте. Дальнейшие различия очевидны в разделении инспекционных функций либо между национальной инспекцией, либо региональной/провинциальной инспекцией, или, действительно, как в Италии и Соединенном Королевстве, например, в рабочем сочетании как национальных, так и региональных инспекций. Но какая бы модель ни была принята, основной функцией инспекции является определение соблюдения законодательства посредством программы плановых проверок и расследований на рабочем месте.
Не может быть эффективной системы инспекции, если те, кто берется за эту работу, не наделены достаточными полномочиями для ее выполнения. Среди инспекций есть много общего в том, что касается полномочий, данных им их законодателями. Всегда должно быть право входа в помещение, что, безусловно, имеет основополагающее значение для осмотра. После этого существует законное право знакомиться с соответствующими документами, реестрами и отчетами, проводить собеседования с работниками индивидуально или коллективно, иметь неограниченный доступ к представителям профсоюза на рабочем месте, брать пробы веществ или материалов, используемых на рабочем месте. , фотографировать и, при необходимости, брать письменные заявления от людей, работающих в помещении.
Дополнительные полномочия часто предоставляются инспекторам для того, чтобы они могли устранять условия, которые могут быть непосредственным источником опасности или ухудшения здоровья рабочей силы. Опять же, существует большое разнообразие практик. Если стандарты настолько неудовлетворительны, что существует неизбежный риск опасности для рабочей силы, тогда инспектор может быть уполномочен вручить на месте юридический документ, запрещающий использование машин или установок, или останавливать процесс до тех пор, пока риск не будет эффективно устранен. контролируемый. Для более низкого уровня риска инспекторы могут выпустить официальное уведомление, официально требующее принятия мер в течение определенного времени для улучшения стандартов. Это эффективные способы быстрого улучшения условий труда и часто предпочтительная форма принуждения по сравнению с официальным судебным разбирательством, которое может быть обременительным и медленным в обеспечении исправления.
Судопроизводство занимает важное место в иерархии правоприменения. Существует аргумент, что, поскольку судебные разбирательства носят просто карательный характер и не обязательно приводят к изменению отношения к безопасности и гигиене труда, к ним следует прибегать только в крайнем случае, когда все другие попытки добиться улучшений потерпели неудачу. Но эта точка зрения должна быть противопоставлена тому факту, что там, где законные требования игнорировались или пренебрегали, а безопасность и здоровье людей подвергались существенному риску, тогда закон должен применяться, а суды должны решать вопрос. Существует еще один аргумент, что те предприятия, которые пренебрегают законодательством о безопасности и гигиене труда, могут, таким образом, получить экономическое преимущество перед своими конкурентами, которые предоставляют достаточные ресурсы для выполнения своих юридических обязанностей. Таким образом, судебное преследование тех, кто постоянно игнорирует свои обязанности, является сдерживающим фактором для недобросовестных и поощрением для тех, кто пытается соблюдать закон.
Каждая инспекционная служба должна определить надлежащий баланс между предоставлением консультаций и соблюдением закона в ходе инспекционной работы. Особая трудность возникает в связи с проверкой малых предприятий. Местная экономика, да и национальная экономика, часто опирается на промышленные предприятия, в каждом из которых занято менее 20 человек; в случае сельского хозяйства показатель занятости на единицу продукции гораздо меньше. Функция инспекции в этих случаях состоит в том, чтобы использовать инспекцию на рабочем месте для предоставления информации и рекомендаций не только в отношении требований законодательства, но и в отношении практических стандартов и эффективных способов соблюдения этих стандартов. Техника должна заключаться в поощрении и стимулировании, а не в немедленном применении закона путем карательных действий. Но даже здесь баланс сложный. Рабочие имеют право на соблюдение стандартов безопасности и гигиены труда независимо от размера предприятия, и поэтому было бы совершенно ошибочным для инспекционной службы игнорировать или минимизировать риски и ограничивать или даже отказываться от соблюдения требований только для того, чтобы способствовать существованию экономически хрупкого предприятия. малое предприятие.
Последовательность проверок
Ввиду сложного характера своей работы, сочетающей в себе потребность в юридических, пруденциальных, технических и научных навыках, инспекторы не применяют и даже не должны применять механистический подход к проверке. Это ограничение в сочетании с трудным балансом между консультативными и правоприменительными функциями создает еще одну проблему, связанную с согласованностью инспекционных услуг. Промышленники и профсоюзы имеют право ожидать последовательного применения стандартов, будь то технических или юридических, инспекторами по всей стране. На практике этого не всегда легко добиться, но это то, к чему всегда должны стремиться правоохранительные органы.
Существуют способы достижения приемлемой консистенции. Во-первых, инспекция должна быть максимально открытой при публикации своих технических стандартов и публичном изложении своей политики правоприменения. Во-вторых, посредством обучения, применения упражнений по экспертной оценке и внутренних инструкций он должен быть в состоянии как распознать проблему, так и предоставить системы для ее решения. Наконец, он должен обеспечить наличие процедур для промышленности, рабочей силы, общественности и социальных партнеров для обеспечения возмещения ущерба, если у них есть законные жалобы на непоследовательность или другие формы недобросовестного управления, связанные с проверкой.
Частота проверок
Как часто инспекции должны проводить проверки рабочих мест? Опять же, существуют значительные различия в том, как можно ответить на этот вопрос. Международная организация труда (МОТ) придерживается мнения, что минимальное требование должно заключаться в том, что каждое рабочее место должно проходить проверку со стороны правоохранительных органов не реже одного раза в год. На практике немногим странам удается разработать программу инспекции труда, отвечающую этой цели. Действительно, после большой экономической депрессии в конце 1980-х годов некоторые правительства сокращали инспекционные службы из-за бюджетных ограничений, которые приводили к сокращению числа инспекторов, или из-за ограничений на набор новых сотрудников вместо тех, кто вышел на пенсию.
Существуют различные подходы к определению того, как часто следует проводить проверки. Один подход был чисто циклическим. Ресурсы используются для обеспечения инспекции всех помещений раз в два года или, что более вероятно, раз в четыре года. Но этот подход, хотя, возможно, и выглядит как равноправие, рассматривает все предпосылки как одинаковые, независимо от размера или риска. Тем не менее предприятия явно различаются по условиям безопасности и гигиены труда, и в той мере, в какой они различаются, эту систему можно считать механистической и несовершенной.
Другой подход, принятый некоторыми инспекциями, заключался в попытке составить программу работы, основанную на опасности; чем больше опасность для безопасности или здоровья, тем чаще проверки. Следовательно, ресурсы направляются инспекцией в те места, где вероятность причинения вреда рабочей силе является наибольшей. Хотя у этого подхода есть достоинства, с ним все еще связаны значительные проблемы. Во-первых, существуют трудности с точной и объективной оценкой опасности и риска. Во-вторых, очень значительно увеличиваются интервалы между осмотрами тех помещений, где опасности и риски считаются низкими. Поэтому могут пройти продолжительные периоды времени, в течение которых многим работникам придется отказаться от того чувства безопасности и уверенности, которое может обеспечить инспекция. Кроме того, система склонна исходить из того, что опасности и риски после их оценки радикально не меняются. Это далеко не так, и существует опасность того, что предприятие с низким рейтингом может изменить или развить свое производство таким образом, чтобы повысить опасность и риск без ведома инспекции об этом развитии.
Другие подходы включают инспекции, основанные на показателях травматизма на объектах, которые выше, чем в среднем по стране для конкретной отрасли, или сразу после смертельной травмы или крупной катастрофы. Не существует кратких и простых ответов на проблему определения частоты проверок, но, похоже, происходит то, что инспекционные службы во многих странах слишком часто испытывают нехватку ресурсов, в результате чего реальная защита рабочей силы, обеспечиваемая служба постепенно разрушается.
Цели проверки
Методы проверки на рабочем месте варьируются в зависимости от размера и сложности предприятия. В небольших компаниях проверка будет всеобъемлющей и будет оценивать все опасности и степень, в которой риски, возникающие в результате опасностей, были сведены к минимуму. Таким образом, инспекция гарантирует, что работодатель полностью осведомлен о проблемах безопасности и здоровья и получает практические рекомендации о том, как их можно решить. Но даже на самом маленьком предприятии инспекция не должна создавать впечатление, что выявление недостатков и применение соответствующих средств защиты являются функцией инспекции, а не предпринимателя. Инспекция должна поощрять работодателей к контролю и эффективному решению проблем безопасности и здоровья, и они не должны отказываться от своих обязанностей, ожидая проверки со стороны правоохранительных органов, прежде чем предпринимать необходимые действия.
В более крупных компаниях акцент инспекции несколько иной. Эти компании обладают техническими и финансовыми ресурсами для решения проблем безопасности и здоровья. Они должны разработать как эффективные системы управления для решения проблем, так и процедуры управления для проверки того, что системы работают. В этих обстоятельствах акцент при проверке должен быть сделан на проверке и валидации систем управленческого контроля, установленных на рабочем месте. Таким образом, инспекция не должна представлять собой исчерпывающую проверку всех элементов установок и оборудования для определения их безопасности, а скорее использовать отдельные примеры для проверки эффективности или неэффективности систем управления для обеспечения безопасности и здоровья на рабочем месте.
Участие работников в проверках
Какими бы ни были помещения, важнейшим элементом любого типа инспекции является контакт с рабочей силой. Во многих небольших помещениях может отсутствовать официальная профсоюзная структура или вообще какая-либо организация рабочей силы. Однако для обеспечения объективности и приемлемости инспекционной службы контакт с отдельными работниками должен быть неотъемлемой частью инспекции. На крупных предприятиях всегда следует устанавливать контакт с профсоюзом или другими признанными представителями рабочих. Законодательство некоторых стран (например, Швеции и Соединенного Королевства) предоставляет официальное признание и полномочия представителям профсоюзов по вопросам безопасности, включая право проводить инспекции на рабочих местах, расследовать несчастные случаи и опасные происшествия, а в некоторых странах (хотя это и является исключением) остановить оборудование завода или производственный процесс, если это представляет непосредственную опасность. Много полезной информации можно получить из этих контактов с рабочими, которые должны присутствовать при каждой проверке и, конечно, всякий раз, когда инспекция проводит проверку в результате несчастного случая или жалобы.
Выводы инспекции
Последним элементом инспекции является рассмотрение результатов инспекции с участием самого старшего члена руководства на объекте. Руководство несет главную ответственность за соблюдение законодательных требований в отношении безопасности и гигиены труда, и поэтому ни одна проверка не может быть завершена, если руководство не будет полностью осведомлено о том, в какой степени оно выполнило эти обязанности, и о том, что необходимо сделать для обеспечения и поддержания надлежащих стандартов. . Безусловно, если в результате проверки будут выпущены какие-либо официальные уведомления или если вероятны судебные разбирательства, то высшее руководство должно быть осведомлено об этом положении дел на самой ранней стадии.
Инспекции компании
Инспекции компании являются важным компонентом в поддержании надлежащих стандартов безопасности и гигиены труда. Они подходят для всех предприятий, а в более крупных компаниях могут быть элементом процедуры инспекции со стороны руководства. Для небольших компаний важно принять какую-либо форму регулярной проверки компании. Не следует полагаться на инспекционные услуги, предоставляемые инспекциями правоохранительных органов. Обычно они случаются слишком редко и должны служить в основном стимулом для улучшения или поддержания стандартов, а не основным источником для оценки стандартов. Инспекции компаний могут проводиться консультантами или компаниями, которые специализируются на этой работе, но нынешнее обсуждение будет сосредоточено на инспекциях собственным персоналом предприятия.
Как часто следует проводить проверки компании? В некоторой степени ответ зависит от опасностей, связанных с работой, и сложности установки. Но даже в помещениях с низким уровнем риска должны проводиться регулярные (ежемесячные, ежеквартальные и т. д.) проверки. Если в компании работает специалист по технике безопасности, то очевидно, что организация и проведение инспекции должны быть важной частью этой функции. Инспекция, как правило, должна проводиться командой специалистов по технике безопасности, начальника отдела или мастера, а также либо представителя профсоюза, либо квалифицированного рабочего, например, члена комитета по безопасности. Осмотр должен быть комплексным; то есть следует тщательно изучить как программное обеспечение безопасности (например, системы, процедуры и разрешения на работу), так и аппаратное обеспечение (например, охрану машин, противопожарное оборудование, вытяжную вентиляцию и средства индивидуальной защиты). Особое внимание следует уделять «предаварийным ситуациям» — инцидентам, которые не приводят к ущербу или телесным повреждениям, но имеют неизбежную вероятность серьезных случайных травм. Ожидается, что после несчастного случая, связанного с отсутствием на работе, инспекционная группа будет немедленно созвана для расследования обстоятельств, что выходит за рамки обычного цикла инспекции. Но даже во время плановой инспекции мастерской группа должна также учитывать степень незначительных случайных травм, которые произошли в цеху со времени предыдущей инспекции.
Важно, чтобы проверки компании не казались постоянно негативными. Там, где существуют неисправности, важно, чтобы они были выявлены и устранены, но не менее важно хвалить поддержание хороших стандартов, положительно отзываться о чистоте и надлежащем ведении домашнего хозяйства, а также поощрять тех, кто использует средства индивидуальной защиты, предназначенные для их безопасности. . Для завершения проверки необходимо составить официальный письменный отчет о выявленных существенных недостатках. Особое внимание следует обратить на любые недостатки, выявленные в ходе предыдущих проверок, но еще не устраненные. Там, где существует совет по охране труда или совместный комитет по безопасности между руководством и рабочими, отчет об инспекции должен быть включен в повестку дня совета в качестве постоянного пункта. Отчет об инспекции должен быть отправлен и обсужден с высшим руководством предприятия, которое затем должно определить, требуются ли какие-либо действия, и если да, то санкционировать и поддержать такие действия.
Даже самые маленькие компании, в которых нет специалистов по технике безопасности и где могут отсутствовать профсоюзы, должны рассмотреть возможность проведения инспекций компаний. Многие инспекции разработали очень простые руководства, иллюстрирующие основные концепции безопасности и гигиены труда, их применение в ряде отраслей и практические способы их применения даже на самых маленьких предприятиях. Многие ассоциации безопасности специально нацелены на малые предприятия, выпуская публикации (часто бесплатные), в которых содержится основная информация для создания безопасных и здоровых условий труда. Вооружившись такого рода информацией и потратив очень мало времени, владелец малого бизнеса может установить разумные стандарты и, таким образом, возможно, избежать несчастных случаев, которые могут случиться с рабочей силой даже в самом маленьком бизнесе.
Парадоксально, что предотвращение несчастных случаев на производстве не стало абсолютной необходимостью очень рано, поскольку здоровье и безопасность имеют основополагающее значение для самой работы. Фактически только в начале двадцатого века несчастные случаи на производстве перестали считаться неизбежными, а их причины стали предметом исследования и использования в качестве основы для предотвращения. Однако расследование авиационных происшествий долгое время оставалось поверхностным и эмпирическим. Исторически несчастные случаи сначала рассматривались как простые явления, т. е. как результат одной (или основной) причины и небольшого числа второстепенных причин. В настоящее время признано, что расследование авиационных происшествий, направленное на выявление причин явления с целью предотвращения его повторения, зависит как от концепции, лежащей в основе процесса расследования, так и от сложности ситуации, к которой она применяется.
Причины несчастных случаев
Это правда, что в самых ненадежных ситуациях несчастные случаи часто являются результатом довольно простой последовательности нескольких причин, которые можно быстро проследить до основных технических проблем, которые может выявить даже общий анализ (плохая конструкция оборудования, неопределенные методы работы, и т.д.). С другой стороны, чем в большей степени материальные элементы труда (машины, установки, устройство рабочего места и т. д.) соответствуют требованиям техники безопасности труда, нормам и правилам, тем безопаснее становится рабочая обстановка. В результате авария может произойти только тогда, когда одновременно присутствует группа исключительных условий — условий, число которых становится все более многочисленным. В таких случаях травма или ущерб являются конечным результатом часто сложной сети причин. Эта сложность фактически свидетельствует о прогрессе в профилактике и требует соответствующих методов исследования. В таблице 1 перечислены основные концепции явления аварии, их характеристики и последствия для предотвращения.
Таблица 1. Основные понятия явления аварии, их характеристики и последствия для предотвращения
Понятие или «явление аварии» |
Важные элементы (цели, процедуры, ограничения и т. д.) |
Основные последствия для профилактики |
Основная концепция (авария как |
Цель состоит в том, чтобы определить «единственную» или основную причину |
Простые профилактические меры, касающиеся непосредственного предшественника травмы (индивидуальная защита, инструкции по уходу, защита опасных машин) |
Концепция ориентирована на меры регулирования |
Сосредоточьтесь на поиске виновных; «расследование» в основном выявляет нарушения и недостатки. Редко интересуется условиями, порождающими рассматриваемые ситуации. |
Профилактика обычно ограничивается напоминанием о существующих нормативных требованиях или формальными инструкциями. |
Линейная (или квазилинейная) концепция (модель «домино»). |
Выявление хронологической последовательности «опасных состояний» и «опасных действий» |
Выводы, обычно касающиеся опасных деяний |
Многофакторная концепция |
Исчерпывающее исследование для сбора фактов (обстоятельств, причин, факторов и т. д.) |
Концепция не способствует поиску решений в каждом конкретном случае (клинический анализ) и лучше приспособлена к выявлению статистических аспектов (тенденции, таблицы, графики и т. д.). |
Систематическая концепция |
Выявление сети факторов каждой аварии |
Методы, основанные на клиническом анализе |
В настоящее время несчастный случай на производстве обычно рассматривается как показатель (или симптом) дисфункции в системе, состоящей из одной производственной единицы, такой как фабрика, цех, бригада или рабочее место. Природа системы такова, что ее анализ требует от исследователя изучения не только элементов, составляющих систему, но и их взаимосвязей друг с другом и с рабочей средой. В рамках системы расследование авиационного происшествия стремится проследить до его истоков последовательность основных нарушений функций, которые привели к авиационному происшествию, и, в более общем плане, сеть предшествующих нежелательных событий (аварии, предаварийного происшествия или инцидента).
Применение таких методов, как метод STEP (процедуры последовательного построения графика событий) и метод «дерева причин» (по аналогии с анализом деревьев отказов или событий), позволяет визуализировать процесс аварии в виде скорректированный график, иллюстрирующий мультипричинность явления. Поскольку эти два метода очень похожи, описание их обоих было бы дублированием усилий; соответственно, эта статья концентрируется на методе дерева причин и, где это применимо, отмечает его основные отличия от метода STEP.
Информация, полезная для расследования
Начальный этап расследования, сбор информации, должен позволить описать ход аварии в конкретных, точных и объективных терминах. Поэтому расследование ставит своей целью установить материальные факты, стараясь не интерпретировать их и не высказывать о них мнения. Это предвестники аварии, которые бывают двух типов:
Например, недостаточная защита машины (постоянный антецедент) может оказаться фактором аварии, если она позволяет оператору занять позицию в опасной зоне, чтобы справиться с конкретным происшествием (необычный антецедент).
Сбор информации осуществляется на месте самой аварии в кратчайшие сроки после ее возникновения. Предпочтительно ее выполняют лица, знающие операцию или процесс и пытающиеся получить точное описание работы, не ограничиваясь непосредственными обстоятельствами повреждения или травмы. Расследование первоначально проводится в основном путем опроса, по возможности, рабочего или оператора, потерпевших и очевидцев, других членов рабочей бригады и вышестоящих руководителей. Если это уместно, оно завершается посредством технического исследования и использования сторонней экспертизы.
Исследование направлено на выявление в порядке приоритета необычных антецедентов и определение их логических связей. В то же время делается попытка выявить постоянные предпосылки, которые позволили произойти несчастному случаю. Таким образом, расследование может вернуться к этапу, более отдаленному, чем непосредственные предшественники аварии. Эти более отдаленные предшественники могут касаться людей, их задач, оборудования, которое они используют, среды, в которой они работают, и культуры безопасности. Действуя только что описанным способом, обычно можно составить длинный список антецедентов, но обычно бывает трудно сразу использовать данные. Интерпретация данных стала возможной благодаря графическому представлению всех антецедентов, причастных к возникновению аварии, т. е. дереву причин.
Построение дерева причин
Древо причин представляет все собранные антецеденты, вызвавшие несчастный случай, а также логические и хронологические связи, которые их связывают; это представление сети антецедентов, которые прямо или косвенно вызвали травму. Дерево причин строится, начиная с конечной точки события, то есть травмы или повреждения, и продвигаясь в обратном направлении к причине, систематически задавая следующие вопросы для каждого собранного антецедента:
Этот набор вопросов может выявить три типа логической связи между антецедентами, представленными на рисунке 1.
Рисунок 1. Логические связи, используемые в методе «дерево причин»
Логическая связность дерева проверяется с помощью следующих вопросов для каждого антецедента:
Более того, построение дерева причин само по себе побуждает следователей продолжать сбор информации и, следовательно, расследование до момента, предшествующего происшествию. После завершения дерево представляет собой сеть антецедентов, вызвавших травму — фактически они являются факторами несчастного случая. Например, авария, описанная ниже, привела к дереву причин, показанному на рисунке 2.
Рис. 2. Дерево причин несчастного случая с начинающим механиком при перемонтаже двигателя в автомобиле
Сводный отчет об аварии: Ученик механика, недавно принятый на работу, вынужден был работать один в чрезвычайной ситуации. Изношенный строп использовался для подвешивания двигателя, который необходимо было перемонтировать, и во время этой операции строп порвался, двигатель упал и повредил руку механику.
Анализ методом STEP
В соответствии с методом STEP (рисунок 3) каждое событие изображается графически, чтобы показать хронологический порядок его появления, сохраняя одну строку для каждого соответствующего «агента» (агент — это лицо или вещь, которые определяют ход событий, составляющих процесс аварии). Каждое событие точно описывается с указанием его начала, продолжительности, места начала и окончания и так далее. При наличии нескольких правдоподобных гипотез исследователь может показать их в сети событий с помощью логической связи «или».
Рисунок 3. Пример представления, возможного методом STEP
Анализ методом дерева причин
Использование дерева причин для целей анализа несчастных случаев преследует две цели:
Учитывая логическую структуру дерева, отсутствие единственного антецедента предотвратило бы возникновение аварии. Поэтому одной разумной превентивной меры в принципе было бы достаточно для достижения первой цели, предотвращая повторение той же самой аварии. Вторая цель требует устранения всех обнаруженных факторов, но на практике не все предшествующие факторы одинаково важны для целей предотвращения. Поэтому необходимо составить список предпосылок, требующих разумных и реалистичных превентивных действий. Если этот список длинный, необходимо сделать выбор. Этот выбор имеет больше шансов быть уместным, если он сделан в рамках дебатов между партнерами, вовлеченными в аварию. Более того, дискуссия приобретет ясность в той мере, в какой можно будет оценить экономическую эффективность каждой предложенной меры.
Эффективность профилактических мер
Об эффективности меры пресечения можно судить по следующим критериям:
Стабильность меры. Эффекты предупредительных мер не должны исчезать со временем: информирование операторов (в частности, напоминание им об инструкциях) — не очень устойчивая мера, поскольку ее последствия часто преходящи. То же самое относится и к некоторым защитным устройствам, когда они легко снимаются.
Возможность интеграции безопасности. Когда добавляется мера безопасности, то есть когда она не способствует непосредственно производству, говорят, что безопасность не интегрирована. Всякий раз, когда это так, наблюдается тенденция к исчезновению меры. Вообще говоря, следует избегать любых превентивных мер, влекущих за собой дополнительные затраты для оператора, будь то физиологические затраты (увеличение физической или нервной нагрузки), психологические затраты, финансовые затраты (в случае заработной платы или производительности) или даже простая потеря времени.
Несмещение риска. Некоторые превентивные меры могут иметь косвенные последствия, наносящие ущерб безопасности. Поэтому всегда необходимо предвидеть возможные последствия превентивной меры для системы (должности, бригады или цеха), в которой она применяется.
Возможность общего применения (понятие потенциального аварийного фактора). Этот критерий отражает опасение, что одни и те же превентивные меры могут быть применимы к другим работам, кроме той, на которую повлияла расследуемая авария. Когда это возможно, следует приложить усилия, чтобы выйти за рамки конкретного дела, послужившего поводом для расследования, что часто требует переформулировки выявленных проблем. Таким образом, информация, полученная в результате несчастного случая, может привести к превентивным действиям, связанным с неизвестными факторами, но присутствующими в других рабочих ситуациях, когда они еще не привели к несчастным случаям. По этой причине их называют «потенциальными аварийными факторами». Это понятие открывает путь к раннему выявлению рисков, о которых будет сказано ниже.
Воздействие на коренные «причины». Как правило, предотвращение факторов несчастного случая рядом с местом травмы устраняет определенные последствия опасных ситуаций, в то время как предупреждение, действующее далеко до места травмы, имеет тенденцию устранять сами опасные ситуации. Углубленное расследование аварий оправдано в той мере, в какой профилактические действия в равной степени касаются факторов, расположенных выше по течению.
Время, необходимое для подачи заявки. Необходимость действовать как можно быстрее после возникновения аварии, чтобы избежать ее повторения, часто выражается в применении простой предупредительной меры (инструкции, например), но это не устраняет необходимости в других, более длительных мерах. и более эффективное действие. Таким образом, каждая авария должна порождать ряд предложений, реализация которых является предметом последующих действий.
Вышеуказанные критерии предназначены для того, чтобы лучше оценить качество предупредительных действий, предлагаемых после расследования каждого авиационного происшествия. Однако окончательный выбор делается не только на этом основании, так как необходимо учитывать и другие соображения, такие как экономические, культурные или социальные. Наконец, принятые меры должны, очевидно, соответствовать действующим правилам.
Факторы аварии
Уроки, извлеченные из анализа каждой аварии, заслуживают систематической регистрации, чтобы облегчить переход от знаний к действиям. Таким образом, цифра 4 состоит из трех столбцов. В левой колонке отмечены факторы аварии, требующие предупредительных мер. Возможные профилактические действия описаны в средней колонке для каждого выбранного фактора. После обсуждения, упомянутого выше, выбранное действие записывается в этой части документа.
Рисунок 4. Уроки, извлеченные из аварий, и использование этих уроков
Правая колонка охватывает потенциальные факторы аварии, предполагаемые факторами, перечисленными в левой колонке: считается, что каждый обнаруженный фактор аварии часто является лишь частным случаем более общего фактора, известного как потенциальный фактор аварии. Переход от частного случая к более общему часто совершается спонтанно. Однако каждый раз, когда аварийный фактор выражается таким образом, что с ним невозможно столкнуться где-либо еще, кроме как в той ситуации, в которой он появился, необходимо рассматривать более общую формулировку. При этом необходимо избегать двух противоположных ловушек, чтобы эффективно использовать понятие потенциального фактора аварии при раннем обнаружении рисков, возникающих позже. Слишком ограниченная формулировка не позволяет систематически выявить факторы, тогда как слишком широкая делает понятие неработоспособным и не представляет дальнейшего практического интереса. Таким образом, обнаружение потенциальных аварийных факторов предполагает их правильную формулировку. Затем это обнаружение может быть выполнено двумя способами, которые, кроме того, дополняют друг друга:
Полезность, эффективность и ограничения расследования авиационных происшествий
Полезность. По сравнению с несистематическими расследованиями методы расследования авиационных происшествий, основанные на системной концепции, имеют многочисленные преимущества, в том числе:
Эффективность. Чтобы расследование авиационного происшествия было эффективным, необходимо, чтобы одновременно выполнялись четыре условия:
Ограничения. Даже при очень хорошем расследовании авиационных происшествий существует двойное ограничение:
Необходимость отчетности и сбора данных об авариях
Основная цель сбора и анализа данных о несчастных случаях на производстве состоит в том, чтобы предоставить знания, которые можно использовать для предотвращения производственных травм, смертельных случаев и других форм вреда, таких как токсические воздействия с долгосрочными последствиями. Эти данные также полезны при оценке потребностей в компенсации жертвам ранее полученных травм. Дополнительные, более конкретные цели сбора статистики авиационных происшествий включают следующее:
Часто требуется обзор количества несчастных случаев, происходящих за год. Для этой цели часто используют частоту, сравнивая количество несчастных случаев с мерой, относящейся к группе риска и выражаемой, например, в количестве несчастных случаев на 100,000 100,000 рабочих или на XNUMX XNUMX рабочих часов. Такие ежегодные подсчеты служат для выявления изменений в частоте аварий от года к году. Однако, хотя они могут указывать виды аварий, требующих наиболее срочных превентивных действий, сами по себе они не дают указаний относительно того, какую форму должны принимать эти действия.
Потребность в информации об авариях относится к следующим трем уровням функций, которые ее используют:
Роль организации в сборе информации об авариях
Во многих странах законодательство требует, чтобы предприятия вели статистику несчастных случаев на производстве, которые приводят к травмам, летальному исходу или токсичному воздействию на работника. Цель этого обычно состоит в том, чтобы привлечь внимание к рискам, которые фактически привели к такого рода авариям, при этом мероприятия по обеспечению безопасности сосредоточены главным образом на конкретной аварии и изучении самого события. Однако чаще всего информация об авариях собирается и регистрируется систематически, что обычно выполняется на более высоком уровне.
Поскольку фактические обстоятельства большинства несчастных случаев являются особыми, полностью идентичные несчастные случаи случаются редко, и предотвращение, основанное на анализе отдельных несчастных случаев, очень быстро становится весьма специфическим вопросом. Систематически собирая информацию об авариях, можно получить более широкое представление о тех областях, где можно обнаружить конкретные риски, и выявить менее очевидные факторы, способствовавшие возникновению аварии. Определенные рабочие процессы, определенные рабочие бригады или работа с определенным оборудованием могут привести к весьма косвенным несчастным случаям. Однако внимательное изучение типов несчастных случаев, связанных с данным классом однородной работы, может выявить такие факторы, как нецелесообразность рабочих процессов, неправильное использование материалов, тяжелые условия труда или отсутствие надлежащего инструктажа рабочих. Анализ многочисленных повторяющихся несчастных случаев позволит выявить основные факторы, с которыми необходимо иметь дело при принятии превентивных мер.
Передача информации об авариях в органы безопасности
Законодательство, требующее сообщения о несчастных случаях на производстве, широко варьируется от страны к стране, причем различия в основном касаются классов работодателей и других лиц, к которым применяются законы. Страны, уделяющие большое внимание безопасности на рабочем месте, обычно требуют, чтобы данные о несчастных случаях сообщались в орган, отвечающий за надзор за соблюдением законодательства в области безопасности. (В некоторых случаях законодательство требует сообщения о несчастных случаях на производстве, повлекших за собой отсутствие на работе, причем продолжительность такого отсутствия варьируется от 1 до 3 дней в дополнение к дню несчастного случая.) Общим для большинства законодательных актов является тот факт, что сообщение связано с каким-то штрафом или компенсацией за последствия аварий.
В целях обеспечения прочной основы для предотвращения несчастных случаев на производстве необходимо обеспечить получение информации о несчастных случаях, относящейся ко всем секторам и всем видам профессий. На национальном уровне должна быть создана основа для сравнения, чтобы можно было определить приоритетность профилактических действий и чтобы знания о рисках, связанных с задачами в различных секторах, могли быть использованы в профилактической работе. Поэтому рекомендуется, чтобы обязанность по сбору информации о несчастных случаях на производстве на национальном уровне распространялась на все несчастные случаи на производстве определенной степени тяжести, независимо от того, касаются ли они работников фирм или самозанятых, лиц, работающих на временной работе, или постоянных получателей заработной платы, или работники государственного или частного секторов.
Хотя работодатели, вообще говоря, обязаны сообщать о несчастных случаях, эта обязанность выполняется с разной степенью энтузиазма. Степень соблюдения обязанности сообщать о несчастных случаях зависит от стимулов, побуждающих работодателя делать это. Например, в некоторых странах действует правило, в соответствии с которым работодателям выплачивается компенсация за потерянный рабочий день жертвы несчастного случая, что дает им веские основания сообщать о производственных травмах. Другие страны наказывают работодателей, которые не сообщают о несчастных случаях. Там, где такого рода стимулы отсутствуют, не всегда соблюдается чисто юридическое обязательство, связывающее работодателя. Кроме того, рекомендуется, чтобы информация о несчастных случаях на производстве, предназначенная для профилактических целей, передавалась органу, ответственному за профилактическую деятельность, и хранилась отдельно от компенсирующего органа.
Какая информация должна быть собрана?
Существует три основных класса информации, которую можно получить с помощью регистрации аварий:
Необходимо собрать определенный базовый набор данных, чтобы должным образом документировать, когда и где происходит авария, и анализировать, как она происходит. На уровне предприятия собираемые данные являются более подробными, чем данные, собранные на национальном уровне, но отчеты, созданные на местном уровне, будут содержать элементы информации, ценные на всех уровнях. Таблица 1 иллюстрирует определенные виды информации, которая может быть зарегистрирована посредством описания отдельного авиационного происшествия. Пункты, особенно относящиеся к задаче подготовки статистических данных об авиационном происшествии, более подробно описаны ниже.
Таблица 1. Информационные переменные, характеризующие аварию
Действия |
пункты |
Шаг 1 |
|
Деятельность жертвы: например, управление машиной, выполнение технического обслуживания, вождение автомобиля, ходьба и т. д. |
Компонент, связанный с деятельностью жертвы: например, силовой пресс, инструмент, транспортное средство, пол и т. д. |
Шаг 2 |
|
Отклоняющееся действие: например, взрыв, разрушение конструкции, отключение, потеря управления и т. д. |
Компонент, связанный с девиантным действием: например, сосуд высокого давления, стена, кабель, транспортное средство, машина, инструмент и т. д. |
Шаг 3 |
|
Действие, приводящее к травме: например, удар, раздавливание, ловушка, контакт, укус и т. д. |
Агент травмы: например, кирпич, земля, машина и т. д. |
Идентификационный номер аварии. Всем несчастным случаям на производстве должен быть присвоен уникальный идентификационный номер. Особенно выгодно использовать числовой идентификатор для компьютеризированной регистрации и последующей обработки.
Личный идентификационный номер и дата. Регистрация потерпевшего является неотъемлемой частью идентификации несчастного случая. Номер может быть днем рождения работника, номером места работы, номером социального страхования или другим уникальным идентификатором. Запись как личного идентификационного номера, так и даты аварии предотвратит дублирование регистрации одного и того же происшествия, а также позволит проверить, было ли сообщено о происшествии. Связь между информацией, содержащейся в отчете об аварии, и личным идентификационным номером может быть защищена в целях безопасности.
Национальность. Гражданство жертвы может быть особенно важным элементом информации в странах со значительным количеством иностранной рабочей силы. Двузначный кодовый номер можно выбрать из числа перечисленных в стандарте DS/ISO 3166.
Профессия. Регистрационный номер занятия можно выбрать из списка четырехзначных международных кодов занятий, предоставленных Международной стандартной классификацией занятий (ISCO).
Предприятие. Название, адрес и идентификационный номер предприятия используются при регистрации несчастных случаев на национальном уровне (хотя название и адрес не могут использоваться для компьютерной регистрации). Производственный сектор предприятия обычно регистрируется в его страховой компании по страхованию от несчастных случаев на производстве или регистрируется в связи с регистрацией его рабочей силы. Числовой идентификатор сектора может быть присвоен в соответствии с пятизначной международной системой классификации NACE.
Рабочий процесс. Важным компонентом информации, касающейся несчастных случаев на производстве, является описание рабочего процесса, осуществляемого во время несчастного случая. Идентификация рабочего процесса является необходимым условием точно направленной профилактики. Следует отметить, что рабочий процесс является фактической рабочей функцией, которую пострадавший выполнял во время несчастного случая, и не обязательно может быть идентичен рабочему процессу, вызвавшему травму, смертельный исход или облучение.
Авария. Аварийное событие обычно состоит из цепочки событий. Исследователи часто склонны сосредотачиваться на той части событийного цикла, в которой действительно произошла травма. Однако с точки зрения предотвращения столь же важно описание той части цикла событий, в которой что-то пошло не так, и того, что делала жертва, когда произошло событие.
Последствия аварии. После уточнения поврежденной части тела и описания вида травмы (это делается частично путем кодирования из чек-листа, частично из описания в цикле событий) записывается информация, описывающая тяжесть травмы, привела ли она к отсутствие на работе (и как долго), было ли оно фатальным или повлекло за собой инвалидность. Подробную информацию о длительном отсутствии на работе, госпитализации или инвалидности обычно можно получить в бюро компенсаций и в системе социального обеспечения.
Таким образом, для целей регистрации изучение аварийных событий делится на следующие три информационных компонента:
Следующие примеры иллюстрируют применение этих категорий анализа:
Сообщение информации об аварии
Информация, которую необходимо получить по каждому происшествию, может быть записана в форму отчета, аналогичную показанной на рисунке 1.
Рисунок 1. Образец формы отчета
Информация из формы отчета может быть записана на компьютер с использованием классификационных ключей. (Там, где могут быть рекомендованы международные системы классификации, они упоминаются в описании отдельных информационных переменных, приведенном выше.) Классификации для других переменных, используемых для регистрации производственных травм, были разработаны Датской службой рабочей среды, и принципы в создании согласованной системы записи являются частью предложения, разработанного Европейским Союзом.
Использование статистики несчастных случаев
Статистика несчастных случаев представляет собой ценный инструмент в самых разных контекстах: картирование, мониторинг и предупреждение, определение приоритетов областей для предотвращения, конкретные профилактические меры, а также поиск и исследование информации. Одна область может пересекаться с другой, но принципы применения различаются.
Карт
Карт данных о несчастных случаях на производстве включает в себя извлечение заранее определенных видов информации из накопленных зарегистрированных данных и анализ взаимосвязей между ними. Следующие примеры иллюстрируют полезность картографических приложений.
Мониторинг и предупреждение
мониторинг представляет собой непрерывный процесс наблюдения, сопровождающийся предупреждение основных рисков и, в частности, изменения таких рисков. Изменения, наблюдаемые в поступающих сообщениях об авиационных происшествиях, могут либо свидетельствовать об изменениях в схеме представления сообщений, либо, что более серьезно, могут отражать подлинные изменения в факторах риска. Можно сказать, что большие риски существуют там, где высока частота травм, где происходит много серьезных травм и где есть большая группа людей, подвергающихся воздействию.
Установление приоритетов
Установление приоритетов является выбор наиболее важных областей риска или проблем рабочей среды для превентивных действий. На основе результатов картографических обследований и деятельности по мониторингу и предупреждению может быть создан реестр несчастных случаев на производстве, который может способствовать установлению приоритетов, элементы которого могут включать следующее:
Данные, взятые из реестра несчастных случаев на производстве, можно использовать для установления приоритетов на нескольких уровнях, возможно, на общенациональном уровне или на уровне отдельных предприятий. На любом уровне анализы и оценки могут быть сделаны на основе одних и тех же принципов.
предотвращение
Анализы и документация, которые используются в профилактических целях, как правило, очень специфичны и сосредоточены в ограниченных областях, которые, однако, рассматриваются очень глубоко. Примером такого анализа является кампания против несчастных случаев со смертельным исходом, проводимая Датской национальной службой инспекции труда. Предварительные картографические исследования выявили профессии и рабочие функции, в которых произошли несчастные случаи со смертельным исходом. Сельскохозяйственные тракторы были выбраны в качестве основной области для анализа. Цель анализа заключалась в том, чтобы определить, что именно делает тракторы такими опасными. Были изучены вопросы о том, кто их водил, где они эксплуатировались, когда произошли несчастные случаи и, в частности, какие типы ситуаций и событий привели к несчастным случаям. В результате анализа было дано описание семи типичных ситуаций, которые чаще всего приводили к авариям. На основании этого анализа была разработана профилактическая программа.
Количество несчастных случаев на производстве на отдельном предприятии часто слишком мало, чтобы получить пригодные статистические данные для профилактического анализа. Анализ характера несчастных случаев можно использовать для предотвращения повторения определенных травм, но вряд ли он может быть успешным для предотвращения возникновения несчастных случаев, которые тем или иным образом отличаются от предыдущих случаев. Если предметом исследования не является довольно крупное предприятие, такой анализ лучше всего проводить на группе предприятий очень похожего характера или на группе производственных процессов одного и того же типа. Например, анализ лесной промышленности показывает, что несчастные случаи, происходящие с раскройными станками, в основном связаны с травмами пальцев. Несчастные случаи на транспорте в основном связаны с травмами стопы и голени, а повреждение головного мозга и экзема являются наиболее распространенными опасностями при обработке поверхностей. Более подробный анализ соответствующих рабочих процессов в отрасли может выявить, какие ситуации обычно приводят к несчастным случаям. На основе этой информации эксперты в соответствующей отрасли могут определить, когда такие ситуации могут возникнуть, и как их предотвратить.
Информационный поиск и исследование
Одним из наиболее распространенных применений таких информационных систем, как картотеки и библиотечные системы, является поиск информации конкретного и четко определенного характера для целей исследования безопасности. Например, в исследовании, цель которого состояла в том, чтобы сформулировать правила, касающиеся работ на крышах, возникло сомнение в том, что такие работы сопряжены с каким-либо особым риском. Преобладало мнение, что люди очень редко получают травмы, падая с крыш во время работы. Однако в данном случае регистр несчастных случаев на производстве использовался для извлечения всех сообщений о травмах людей в результате падения с крыш, и действительно было обнаружено значительное число таких случаев, что подтверждает важность продолжения разработки правил в этой области.
A система можно определить как набор взаимозависимых компонентов, объединенных таким образом, чтобы выполнять заданную функцию в определенных условиях. В этом смысле машина является осязаемым и особенно ярким примером системы, но есть и другие системы, включающие мужчин и женщин в команду, мастерскую или фабрику, которые гораздо сложнее и не так легко поддаются определению. Сохранность предполагает отсутствие опасности или риска несчастного случая или вреда. Во избежание двусмысленности общее понятие нежелательное явление будет трудоустроен. Абсолютная безопасность в смысле невозможности возникновения более или менее неприятных инцидентов недостижима; на самом деле нужно стремиться к очень низкой, а не к нулевой вероятности нежелательных событий.
Данную систему можно рассматривать как безопасную или небезопасную только в отношении тех характеристик, которые от нее действительно ожидаются. Имея это в виду, уровень безопасности системы можно определить следующим образом: «Для любого заданного множества нежелательных событий уровень безопасности (или небезопасности) системы определяется вероятностью того, что эти события произойдут в течение заданного времени. промежуток времени". Примеры нежелательных происшествий, которые могли бы представлять интерес в данной связи, включают: многочисленные смертельные случаи, смерть одного или нескольких человек, серьезные травмы, легкие травмы, ущерб окружающей среде, вредное воздействие на живых существ, разрушение растений или зданий и крупные или ограниченный материальный ущерб или повреждение оборудования.
Цель анализа системы безопасности
Целью анализа безопасности системы является установление факторов, влияющих на вероятность нежелательных событий, изучение того, как эти события происходят, и, в конечном счете, разработка превентивных мер для снижения их вероятности.
Аналитическая фаза проблемы может быть разделена на два основных аспекта:
После изучения различных нарушений функций и их последствий аналитики системной безопасности могут обратить свое внимание на превентивные меры. Исследования в этой области будут основываться непосредственно на ранее полученных данных. Это исследование превентивных средств следует двум основным аспектам анализа безопасности системы.
Методы анализа
Анализ безопасности системы может проводиться до или после события (априорно или апостериорно); в обоих случаях используемый метод может быть как прямым, так и обратным. Априорный анализ имеет место до нежелательного события. Аналитик берет определенное количество таких случаев и намеревается обнаружить различные стадии, которые могут привести к ним. Напротив, апостериорный анализ проводится после того, как произошло нежелательное событие. Его цель состоит в том, чтобы дать руководство на будущее и, в частности, сделать любые выводы, которые могут быть полезны для любых последующих априорных анализов.
Хотя может показаться, что априорный анализ гораздо более ценен, чем апостериорный, поскольку он предшествует происшествию, на самом деле они дополняют друг друга. Какой метод используется, зависит от сложности задействованной системы и от того, что уже известно о предмете. В случае материальных систем, таких как машины или промышленные объекты, предыдущий опыт обычно может помочь в подготовке довольно подробного априорного анализа. Однако даже в этом случае анализ не всегда безошибочен, и, несомненно, будет полезен последующий апостериорный анализ, основанный главным образом на изучении инцидентов, происходящих в ходе эксплуатации. Что касается более сложных систем с участием людей, таких как рабочие смены, мастерские или фабрики, то апостериорный анализ еще более важен. В таких случаях прошлого опыта не всегда достаточно для детального и надежного априорного анализа.
Апостериорный анализ может перерасти в априорный анализ, поскольку аналитик выходит за рамки одного процесса, который привел к рассматриваемому происшествию, и начинает изучать различные события, которые могут обоснованно привести к такому или подобным инцидентам.
Еще один способ, которым апостериорный анализ может стать априорным, — это когда акцент делается не на происшествии (предотвращение которого является основной целью текущего анализа), а на менее серьезных происшествиях. Эти инциденты, такие как технические неполадки, материальный ущерб и потенциальные или незначительные аварии, сами по себе относительно малозначительные, могут быть идентифицированы как предупредительные признаки более серьезных происшествий. В таких случаях, хотя и проведенный после возникновения незначительных происшествий, анализ будет априорным анализом в отношении более серьезных происшествий, которые еще не произошли.
Есть два возможных метода изучения механизма или логики последовательности двух или более событий:
На рис. 1 представлена схема схемы управления, требующей двух кнопок (B1 и B2) нужно нажать одновременно, чтобы активировать катушку реле (R) и запустить машину. Этот пример может быть использован для практической иллюстрации направлять и обратный методы, используемые при анализе безопасности системы.
Рис. 1. Двухкнопочная схема управления
Прямой метод
В прямой методаналитик начинает с (1) перечисления ошибок, дисфункций и неправильных приспособлений, (2) изучения их последствий и (3) определения того, представляют ли эти последствия угрозу безопасности. В случае рисунка 1 могут возникнуть следующие неисправности:
Затем аналитик может сделать вывод о последствиях этих ошибок, а результаты можно представить в табличной форме (таблица 1).
Таблица 1. Возможные неисправности двухкнопочной схемы управления и их последствия
Неисправности |
Последствия |
Обрыв провода между 2 и 2' |
Невозможно запустить машину* |
Случайное закрытие B1 (или Б2 ) |
Нет немедленных последствий |
Контакт в С1 (или С2 ) в результате |
Никаких немедленных последствий, но возможность |
Короткое замыкание между 1 и 1' |
Срабатывание катушки реле R — случайный пуск |
* Возникновение с прямым влиянием на надежность системы
** Происшествие, ответственное за серьезное снижение уровня безопасности системы.
*** Следует избегать опасных происшествий
См. текст и рисунок 1.
В таблице 1 последствия, представляющие опасность или способные серьезно снизить уровень безопасности системы, могут быть обозначены условными знаками типа ***.
Примечание: В таблице 1 разрыв провода между 2 и 2´ (показан на рис. 1) приводит к происшествию, которое не считается опасным. Это не оказывает прямого влияния на безопасность системы; однако вероятность возникновения такого инцидента имеет прямое отношение к надежности системы.
Прямой метод особенно подходит для моделирования. На рис. 2 показан аналоговый тренажер, предназначенный для изучения безопасности цепей управления прессом. Моделирование схемы управления позволяет убедиться, что при отсутствии неисправности схема действительно способна обеспечить требуемую функцию без нарушения критериев безопасности. Кроме того, симулятор может позволить аналитику вносить неисправности в различные компоненты схемы, наблюдать за их последствиями и, таким образом, отличать правильно спроектированные схемы (с небольшим количеством опасных неисправностей или без них) от плохо спроектированных схем. Этот тип анализа безопасности также может быть выполнен с использованием компьютера.
Рис. 2. Тренажер для исследования цепей управления прессом
Обратный метод
В обратный методаналитик работает в обратном направлении от нежелательного события, инцидента или аварии к различным предыдущим событиям, чтобы определить, какие из них могут привести к событиям, которых следует избегать. На рисунке 1 конечным событием, которого следует избегать, будет непреднамеренный запуск машины.
Результаты этого анализа могут быть представлены в виде диаграммы, напоминающей дерево (по этой причине обратный метод известен как «анализ дерева отказов»), как показано на рисунке 3.
Рисунок 3. Возможная цепочка событий
Схема следует за логическими операциями, наиболее важными из которых являются операции «ИЛИ» и «И». Операция «ИЛИ» означает, что [X1] произойдет, если имеет место либо [A], либо [B] (или оба). Операция «И» означает, что перед [X2] должно иметь место как [C], так и [D] (см. рис. 4).
Рисунок 4. Представление двух логических операций
Обратный метод очень часто используется при априорном анализе материальных систем, особенно в химической, авиационной, космической и атомной промышленности. Он также оказался чрезвычайно полезным в качестве метода расследования промышленных аварий.
Хотя они очень разные, прямой и обратный методы дополняют друг друга. Прямой метод основан на наборе неисправностей или дисфункций, поэтому ценность такого анализа во многом зависит от релевантности различных дисфункций, учитываемых на начальном этапе. В этом свете обратный метод кажется более систематическим. Зная, какие типы несчастных случаев или инцидентов могут произойти, аналитик теоретически может применить этот метод, чтобы вернуться ко всем дисфункциям или комбинациям дисфункций, способным их вызвать. Однако, поскольку все опасные варианты поведения системы не обязательно известны заранее, их можно обнаружить прямым методом, например, с помощью моделирования. Как только они будут обнаружены, опасности могут быть проанализированы более подробно обратным методом.
Проблемы анализа безопасности систем
Описанные выше аналитические методы — это не просто механические процессы, которые нужно применять только автоматически, чтобы сделать полезные выводы для повышения безопасности системы. Наоборот, аналитики в ходе своей работы сталкиваются с рядом проблем, и полезность их анализа во многом будет зависеть от того, как они приступят к их решению. Некоторые типичные проблемы, которые могут возникнуть, описаны ниже.
Понимание исследуемой системы и условий ее работы
Фундаментальными проблемами любого системного анализа безопасности являются определение изучаемой системы, ее ограничений и условий, в которых она должна работать на протяжении всего своего существования.
Если аналитик принимает во внимание слишком ограниченную подсистему, результатом может быть принятие ряда случайных превентивных мер (ситуация, в которой все направлено на предотвращение определенных типов событий, в то время как не менее серьезные опасности игнорируются или недооцениваются). ). Если, с другой стороны, рассматриваемая система является слишком всеобъемлющей или общей по отношению к данной проблеме, это может привести к чрезмерной расплывчатости концепции и ответственности, и анализ может не привести к принятию соответствующих превентивных мер.
Типичным примером, иллюстрирующим проблему определения изучаемой системы, является безопасность промышленных машин или установок. В такой ситуации у аналитика может возникнуть соблазн рассмотреть только фактическое оборудование, упуская из виду тот факт, что оно должно эксплуатироваться или контролироваться одним или несколькими людьми. Упрощение такого рода иногда допустимо. Однако необходимо анализировать не только машинную подсистему, но и всю систему «рабочий плюс машина» на различных этапах жизненного цикла оборудования (включая, например, транспортировку и погрузочно-разгрузочные работы, сборку, испытания и настройку, нормальную эксплуатацию). , техническое обслуживание, разборка и, в некоторых случаях, уничтожение). На каждом этапе машина является частью определенной системы, назначение и режимы функционирования и неисправности которой совершенно отличны от таковых у системы на других этапах. Поэтому он должен быть спроектирован и изготовлен таким образом, чтобы обеспечить выполнение требуемой функции в хороших условиях безопасности на каждом из этапов.
В более общем плане, что касается исследований безопасности на предприятиях, существует несколько системных уровней: машина, рабочее место, смена, отдел, фабрика и фирма в целом. В зависимости от того, какой системный уровень рассматривается, возможные типы дисфункции и соответствующие превентивные меры весьма различны. Хорошая профилактическая политика должна учитывать дисфункции, которые могут возникать на различных уровнях.
Условия работы системы могут быть определены с точки зрения того, как система должна функционировать, и условий окружающей среды, которым она может подвергаться. Это определение должно быть достаточно реалистичным, чтобы учитывать фактические условия, в которых, вероятно, будет работать система. Система, которая очень безопасна только в очень ограниченном рабочем диапазоне, может быть не такой безопасной, если пользователь не может удержаться в предписанном теоретическом рабочем диапазоне. Таким образом, безопасная система должна быть достаточно надежной, чтобы выдерживать разумные изменения условий, в которых она функционирует, и должна допускать определенные простые, но предсказуемые ошибки со стороны операторов.
Моделирование системы
Часто бывает необходимо разработать модель для анализа безопасности системы. Это может вызвать определенные проблемы, которые стоит изучить.
Для краткой и относительно простой системы, такой как обычная машина, модель почти напрямую выводится из описания материальных компонентов и их функций (двигатели, трансмиссия и т. д.), а также того, как эти компоненты взаимосвязаны. Количество возможных режимов отказа компонентов также ограничено.
Особую проблему представляют современные машины, такие как компьютеры и роботы, которые содержат сложные компоненты, такие как микропроцессоры и электронные схемы с очень большой степенью интеграции. Эта проблема не была полностью решена ни с точки зрения моделирования, ни с точки зрения прогнозирования различных возможных режимов отказа, поскольку в каждом кристалле очень много элементарных транзисторов и из-за использования различных видов программного обеспечения.
Когда анализируемой системой является человеческая организация, интересная проблема, возникающая при моделировании, заключается в выборе и определении определенных нематериальных или не полностью материальных компонентов. Конкретная рабочая станция может быть представлена, например, системой, включающей рабочих, программное обеспечение, задачи, машины, материалы и среду. (Компонент «задача» может оказаться трудным для определения, поскольку учитывается не предписанная задача, а задача в том виде, в каком она фактически выполняется).
При моделировании человеческих организаций аналитик может решить разбить рассматриваемую систему на информационную подсистему и одну или несколько подсистем действий. Анализ сбоев на различных этапах информационной подсистемы (сбор, передача, обработка и использование информации) может быть весьма поучительным.
Проблемы, связанные с несколькими уровнями анализа
Проблемы, связанные с многоуровневым анализом, часто возникают из-за того, что, начиная с нежелательного события, аналитик может возвращаться к событиям, которые становятся все более и более отдаленными во времени. В зависимости от рассматриваемого уровня анализа характер возникающих дисфункций различается; то же самое относится и к профилактическим мерам. Важно иметь возможность решить, на каком уровне следует прекратить анализ и на каком уровне следует предпринять превентивные действия. Примером может служить простой случай несчастного случая в результате механической неисправности, вызванной повторным использованием машины в ненормальных условиях. Это могло быть вызвано отсутствием обучения оператора или плохой организацией работы. В зависимости от рассматриваемого уровня анализа, необходимыми предупредительными действиями могут быть замена машины другой машиной, способной выдерживать более жесткие условия эксплуатации, использование машины только в нормальных условиях, изменения в обучении персонала или реорганизация предприятия. работай.
Эффективность и объем меры пресечения зависят от уровня, на котором она вводится. Превентивные действия в непосредственной близости от нежелательного явления, скорее всего, окажут прямое и быстрое воздействие, но их последствия могут быть ограниченными; с другой стороны, при анализе событий в разумной степени в обратном направлении можно будет найти типы дисфункций, которые являются общими для многочисленных несчастных случаев. Любое превентивное действие, предпринятое на этом уровне, будет гораздо шире по масштабу, но его эффективность может быть менее прямой.
Принимая во внимание, что существует несколько уровней анализа, может также существовать множество моделей превентивных действий, каждая из которых несет свою долю работы по предотвращению. Это чрезвычайно важный момент, и достаточно вернуться к рассматриваемому в настоящее время примеру несчастного случая, чтобы оценить этот факт. Предложение о замене машины другой машиной, способной выдерживать более суровые условия эксплуатации, возлагает на машину бремя предотвращения. Решение о том, что машину следует использовать только в нормальных условиях, означает возложение ответственности на пользователя. Таким же образом ответственность может быть возложена на обучение персонала, организацию работы или одновременно на машину, пользователя, функцию обучения и функцию организации.
На любом заданном уровне анализа несчастный случай часто оказывается следствием сочетания нескольких дисфункций или неадекватности. В зависимости от того, предпринимаются ли действия по одной или другой дисфункции или по нескольким одновременно, схема предпринятых профилактических действий будет различаться.
Инструменты настолько распространены в нашей жизни, что иногда трудно помнить, что они могут представлять опасность. Все инструменты производятся с учетом требований безопасности, но иногда может произойти несчастный случай до того, как будут обнаружены опасности, связанные с инструментом. Рабочие должны научиться распознавать опасности, связанные с различными типами инструментов, и меры предосторожности, необходимые для предотвращения этих опасностей. Следует надевать соответствующие средства индивидуальной защиты, такие как защитные очки или перчатки, для защиты от потенциальных опасностей, которые могут возникнуть при использовании портативных электроинструментов и ручных инструментов.
Ручной инструмент
Ручные инструменты не приводятся в действие и включают в себя все, от топоров до гаечных ключей. Наибольшие опасности, связанные с ручными инструментами, связаны с неправильным использованием, использованием неподходящего инструмента для работы и неправильным обслуживанием. Некоторые из опасностей, связанных с использованием ручных инструментов, включают, но не ограничиваются следующим:
Работодатель несет ответственность за безопасное состояние инструментов и оборудования, предоставленных работникам, но работники несут ответственность за надлежащее использование и обслуживание инструментов. Рабочие должны направлять пилы, ножи или другие инструменты подальше от проходов и других сотрудников, работающих в непосредственной близости. Ножи и ножницы должны быть острыми, так как тупые инструменты могут быть более опасными, чем острые. (См. рис. 1.)
Рисунок 1. Отвертка
Безопасность требует, чтобы полы были как можно более чистыми и сухими, чтобы предотвратить случайное скольжение при работе с опасными ручными инструментами или рядом с ними. Хотя искры, создаваемые ручными инструментами из железа и стали, обычно недостаточно горячие, чтобы стать источником воспламенения, при работе с легковоспламеняющимися материалами или вблизи них можно использовать искроустойчивые инструменты из латуни, пластика, алюминия или дерева, чтобы предотвратить образование искр.
Электроинструмент
Электроинструменты опасны при неправильном использовании. Существует несколько типов электроинструментов, обычно классифицируемых в зависимости от источника энергии (электрические, пневматические, жидкотопливные, гидравлические, паровые и взрывоопасные). Работники должны быть квалифицированы или обучены использованию всех электроинструментов, используемых в их работе. Они должны понимать потенциальные опасности, связанные с использованием электроинструментов, и соблюдать следующие общие меры предосторожности для предотвращения таких опасностей:
Защитные ограждения
Опасные движущиеся части электроинструмента должны быть защищены. Например, ремни, зубчатые колеса, валы, шкивы, звездочки, шпиндели, барабаны, маховики, цепи или другие возвратно-поступательные, вращающиеся или движущиеся части оборудования должны быть ограждены, если рабочие контактируют с такими частями. При необходимости должны быть предусмотрены ограждения для защиты оператора и других лиц от опасностей, связанных с:
Защитные ограждения никогда не должны сниматься во время использования инструмента. Например, переносные циркулярные пилы должны быть оснащены защитными кожухами. Верхняя защита должна закрывать весь диск пилы. Выдвижной нижний защитный кожух должен закрывать зубья пилы, за исключением случаев, когда он соприкасается с обрабатываемым материалом. Нижний защитный кожух должен автоматически возвращаться в закрывающее положение, когда инструмент отводится от работы. Обратите внимание на защитные кожухи на изображении электропилы (рис. 2).
Рисунок 2. Циркулярная пила с защитным кожухом
Защитные выключатели и органы управления
Ниже приведены примеры ручных электроинструментов, которые должны быть оборудованы выключателем мгновенного действия «вкл./выкл.»:
Эти инструменты также могут быть оснащены блокирующим управлением при условии, что выключение может быть выполнено одним движением того же пальца или пальцев, которые его включают.
Следующие ручные электроинструменты могут быть оснащены только принудительным выключателем управления «вкл./выкл.»:
Другие ручные электроинструменты, которые должны быть оснащены реле постоянного давления, отключающим питание при сбросе давления, включают:
Электрические инструменты
Рабочие, использующие электроинструменты, должны знать о нескольких опасностях. Наиболее серьезным из них является возможность поражения электрическим током с последующими ожогами и легкими ударами током. При определенных условиях даже небольшое количество тока может привести к фибрилляции сердца, что может привести к смерти. Удар также может привести к падению рабочего с лестницы или других приподнятых рабочих поверхностей.
Чтобы снизить вероятность травмирования рабочих электрическим током, инструменты должны быть защищены по крайней мере одним из следующих способов:
При использовании электроинструментов следует соблюдать следующие общие правила техники безопасности:
Абразивные круги с электроприводом
Абразивные шлифовальные, отрезные, полировальные и полировальные круги с механическим приводом создают особые проблемы с безопасностью, поскольку круги могут разрушаться и отбрасывать осколки.
Перед установкой абразивных кругов их следует внимательно осмотреть и проверить на звук (или кольцо) путем легкого постукивания легким неметаллическим инструментом, чтобы убедиться в отсутствии трещин или дефектов. Если колеса треснули или заглохли, они могут разлететься во время работы и не должны использоваться. Исправный и неповрежденный руль даст чистый металлический тон или «звон».
Чтобы колесо не треснуло, пользователь должен убедиться, что оно свободно садится на шпиндель. Гайка шпинделя должна быть затянута достаточно, чтобы удерживать колесо на месте, не деформируя фланец. Следуйте рекомендациям производителя. Необходимо следить за тем, чтобы шпиндельный круг не превышал спецификации абразивного круга. Из-за возможности распада (взрыва) колеса во время запуска рабочий никогда не должен стоять прямо перед колесом, когда оно разгоняется до полной рабочей скорости. Переносные шлифовальные инструменты необходимо оборудовать защитными ограждениями, чтобы защитить рабочих не только от поверхности движущегося круга, но и от разлетающихся осколков в случае поломки. Кроме того, при использовании электрошлифовальной машины следует соблюдать следующие меры предосторожности:
Пневмоинструмент
Пневматические инструменты работают на сжатом воздухе и включают рубильные машины, дрели, молотки и шлифовальные машины. Хотя существует несколько потенциальных опасностей, возникающих при использовании пневматических инструментов, основной из них является опасность удара одним из приспособлений инструмента или какой-либо застежкой, которую рабочий использует с инструментом. При работе с пневматическими инструментами требуется защита глаз и рекомендуется защита лица. Шум – еще одна опасность. Работа с шумными инструментами, такими как отбойные молотки, требует надлежащего и эффективного использования соответствующих средств защиты органов слуха.
При использовании пневматического инструмента рабочий должен убедиться, что он надежно закреплен на шланге, чтобы предотвратить отсоединение. Короткий провод или фиксирующее устройство, прикрепляющее воздушный шланг к инструменту, послужит дополнительной защитой. Если воздушный шланг имеет диаметр более ½ дюйма (1.27 см), на источнике подачи воздуха должен быть установлен предохранительный перепускной клапан для автоматического перекрытия подачи воздуха в случае разрыва шланга. В целом, с воздушным шлангом следует соблюдать те же меры предосторожности, которые рекомендуются для электрических шнуров, потому что шланг подвержен таким же повреждениям или случайным ударам, а также представляет опасность споткнуться.
Пневматические пистолеты ни в коем случае нельзя направлять ни на кого. Рабочие никогда не должны «запирать» насадку против себя или кого-либо еще. Следует установить предохранительную скобу или фиксатор, чтобы предотвратить непреднамеренное выпадение из ствола насадок, таких как долото на отбойном молотке. Должны быть установлены экраны, чтобы защитить находящихся рядом рабочих от ударов осколками, летящими вокруг измельчителей, клепальных пистолетов, пневматических молотков, степлеров или пневматических дрелей.
Безвоздушные распылители, которые распыляют краски и жидкости под высоким давлением (1,000 фунтов или более на квадратный дюйм), должны быть оснащены автоматическими или ручными визуальными предохранительными устройствами, которые предотвращают активацию до тех пор, пока предохранительное устройство не будет снято вручную. Тяжелые отбойные молотки могут вызывать усталость и напряжения, которые можно уменьшить, используя тяжелые резиновые рукоятки, обеспечивающие надежный захват рукой. Рабочий, работающий с отбойным молотком, должен носить защитные очки и защитную обувь для защиты от травм в случае соскальзывания или падения молота. Также следует использовать лицевой щиток.
Топливные инструменты
Инструменты, работающие на топливе, обычно работают с небольшими бензиновыми двигателями внутреннего сгорания. Наиболее серьезная потенциальная опасность, связанная с использованием инструментов, работающих на топливе, исходит от опасных паров топлива, которые могут гореть или взрываться и выделять опасные выхлопные газы. Рабочий должен соблюдать осторожность при обращении, транспортировке и хранении бензина или топлива только в утвержденных емкостях для легковоспламеняющихся жидкостей в соответствии с надлежащими процедурами для легковоспламеняющихся жидкостей. Перед заправкой бака топливного инструмента пользователь должен заглушить двигатель и дать ему остыть, чтобы предотвратить случайное возгорание опасных паров. Если в закрытом помещении используется инструмент, работающий на топливе, необходима эффективная вентиляция и/или защитное оборудование для предотвращения воздействия угарного газа. На территории должны быть огнетушители.
Взрывные пороховые инструменты
Взрывные пороховые инструменты действуют как заряженное ружье, и с ними следует обращаться с таким же уважением и мерами предосторожности. На самом деле они настолько опасны, что эксплуатировать их должны только специально обученные или квалифицированные работники. При использовании порохового инструмента необходима подходящая защита органов слуха, глаз и лица. Все пороховые инструменты должны быть рассчитаны на различные заряды пороха, чтобы пользователь мог выбрать уровень пороха, необходимый для выполнения работы, без чрезмерного усилия.
На дульном конце инструмента должен быть защитный щиток или ограждение, центрированное перпендикулярно стволу, чтобы защитить пользователя от любых летящих осколков или частиц, которые могут создать опасность при выстреле из инструмента. Инструмент должен быть сконструирован таким образом, чтобы он не срабатывал, если на нем нет такого предохранительного устройства. Чтобы предотвратить случайное срабатывание инструмента, для стрельбы требуются два отдельных движения: одно, чтобы привести инструмент в нужное положение, и другое, чтобы нажать на спусковой крючок. Инструменты не должны работать до тех пор, пока они не будут прижаты к рабочей поверхности с силой, по крайней мере, на 5 фунтов превышающей общий вес инструмента.
Если пороховой инструмент дает осечку, пользователь должен подождать не менее 30 секунд, прежде чем пытаться снова выстрелить. Если он по-прежнему не выстрелит, пользователь должен подождать еще как минимум 30 секунд, чтобы неисправный патрон с меньшей вероятностью взорвался, а затем осторожно снять заряд. Неисправный картридж следует погрузить в воду или безопасно утилизировать иным образом в соответствии с процедурами работодателя.
Если в пороховом инструменте возникает дефект во время использования, его следует пометить и немедленно вывести из эксплуатации до тех пор, пока он не будет должным образом отремонтирован. Меры предосторожности для безопасного использования и обращения с пороховыми инструментами включают следующее:
При использовании пороховых инструментов для установки крепежных изделий необходимо учитывать следующие меры предосторожности:
Гидравлические электроинструменты
Жидкость, используемая в гидравлических силовых инструментах, должна быть одобрена для предполагаемого использования и должна сохранять свои рабочие характеристики при самых экстремальных температурах, которым она будет подвергаться. Рекомендуемое производителем безопасное рабочее давление для шлангов, клапанов, труб, фильтров и других фитингов не должно превышаться. Там, где существует вероятность утечки под высоким давлением в зоне, где могут присутствовать источники воспламенения, такие как открытый огонь или горячие поверхности, следует рассмотреть возможность использования огнестойких жидкостей в качестве гидравлической среды.
Jacks
Все домкраты — рычажные и храповые, винтовые и гидравлические — должны иметь устройство, предотвращающее их подъем слишком высоко. Предельная нагрузка, указанная производителем, должна быть постоянно отмечена на видном месте домкрата и не должна превышаться. При необходимости используйте деревянный брусок под основанием, чтобы выровнять и закрепить домкрат. Если поверхность подъемника металлическая, поместите брусок из твердых пород дерева толщиной 1 дюйм (2.54 см) или аналогичный материал между нижней стороной поверхности и металлической головкой домкрата, чтобы уменьшить опасность соскальзывания. Никогда не используйте домкрат для поддержки поднятого груза. После подъема груза его следует немедленно закрепить блоками.
Для установки домкрата убедитесь в соблюдении следующих условий:
Надлежащее техническое обслуживание домкратов необходимо для обеспечения безопасности. Все домкраты необходимо проверять перед каждым использованием и регулярно смазывать. Если домкрат подвергается ненормальной нагрузке или удару, его следует тщательно осмотреть, чтобы убедиться, что он не поврежден. Гидравлические домкраты, подвергающиеся воздействию отрицательных температур, должны быть заполнены соответствующей антифризной жидкостью.
Обзор
Рабочие, использующие ручные и механические инструменты и подвергающиеся опасности падающих, отлетающих, абразивных и разбрызгивающих предметов и материалов, а также опасностям вредной пыли, дыма, тумана, паров или газов, должны быть обеспечены соответствующими необходимыми средствами индивидуальной защиты. для защиты их от опасности. Рабочие могут предотвратить все опасности, связанные с использованием электроинструментов, соблюдая пять основных правил безопасности:
Работники и работодатели несут ответственность за совместную работу по соблюдению установленных безопасных методов работы. При обнаружении небезопасного инструмента или опасной ситуации об этом следует немедленно довести до сведения соответствующего лица.
В данной статье рассматриваются ситуации и цепочки событий, приводящие к несчастным случаям, связанным с контактом с движущейся частью машин. Люди, которые управляют и обслуживают машины, рискуют попасть в серьезную аварию. Статистические данные США показывают, что 18,000 800 ампутаций и более 1979 смертельных исходов в Соединенных Штатах каждый год связаны с такими причинами. Согласно Национальному институту безопасности и гигиены труда США (NIOSH), в 1990 г. категория травм «получил внутри, под или между» занимала самое высокое место среди наиболее важных видов профессиональных травм. Такие травмы, как правило, связаны с машинами ( Этертон и Майерс, 10). «Контакт с движущейся частью машины» был зарегистрирован как основной случай травмы в более чем 1979% несчастных случаев на производстве с тех пор, как эта категория была введена в шведскую статистику производственного травматизма в XNUMX году.
Большинство машин имеют движущиеся части, которые могут привести к травме. Такие движущиеся части могут находиться в точке операции, где выполняется работа с материалом, например, там, где происходит резка, формование, сверление или деформация. Их можно найти в аппаратах, которые передают энергию частям машины, выполняющим работу, например, в маховиках, шкивах, шатунах, муфтах, кулачках, шпинделях, цепях, кривошипах и шестернях. Их можно найти в других движущихся частях машины, таких как колеса мобильного оборудования, мотор-редукторы, насосы, компрессоры и т. д. Опасные движения машин также могут быть обнаружены среди других видов машин, особенно во вспомогательном оборудовании, которое обрабатывает и транспортирует такие грузы, как заготовки, материалы, отходы или инструменты.
Все части машины, которые движутся в процессе выполнения работы, могут способствовать несчастным случаям, приводящим к травмам и повреждениям. Как вращательные, так и прямолинейные движения машин, а также их источники энергии могут быть опасны:
Вращательное движение. Даже гладкие вращающиеся валы могут захватить предмет одежды и, например, привести руку человека в опасное положение. Опасность вращающегося вала возрастает, если он имеет выступающие части или неровные или острые поверхности, такие как регулировочные винты, болты, прорези, выемки или режущие кромки. Вращающиеся детали машин создают «точки защемления» тремя различными способами:
Линейные движения. Вертикальные, горизонтальные и возвратно-поступательные движения могут привести к травме несколькими способами: человек может получить толчок или удар частью машины, может быть зажат между частью машины и каким-либо другим предметом, может порезаться острым краем или удержаться. травма от защемления в результате захвата между движущейся частью и другим предметом (рис. 1).
Рисунок 1. Примеры механических движений, которые могут травмировать человека
Источники питания. Часто для работы машины используются внешние источники энергии, которые могут потреблять значительное количество энергии. К ним относятся электрические, паровые, гидравлические, пневматические и механические силовые системы, все из которых, если их высвободить или не контролировать, могут привести к серьезным травмам или повреждениям. Исследование несчастных случаев, произошедших в течение одного года (с 1987 по 1988 год) среди фермеров в девяти деревнях на севере Индии, показало, что машины для измельчения кормов, в остальном одинаковой конструкции, более опасны, если они приводятся в действие двигателем или трактором. Относительная частота несчастных случаев с более чем легкими травмами (на машину) составила 5.1 на тысячу для ручных резаков и 8.6 на тысячу для механических резаков (Mohan and Patel 1992).
Травмы, связанные с движением машин
Поскольку силы, связанные с движениями машин, часто довольно велики, можно предположить, что травмы, которые они вызывают, будут серьезными. Это предположение подтверждается несколькими источниками. Согласно британской статистике, на «контакт с движущимися механизмами или обрабатываемым материалом» приходится лишь 5% всех несчастных случаев на производстве, но до 10% несчастных случаев со смертельным исходом и серьезных травм (переломы, ампутации и т. д.) (HSE 1989). Исследования двух предприятий по производству автомобилей в Швеции указывают на то же направление. Несчастные случаи, вызванные движением машин, привели к удвоению числа дней отпуска по болезни, измеряемому средними значениями, по сравнению с несчастными случаями, не связанными с машинами. Несчастные случаи с участием машин также отличались от других несчастных случаев в отношении травмированных частей тела: результаты показали, что 80% травм, полученных в результате несчастных случаев с машинами, были нанесены на руки и пальцы, в то время как соответствующая доля травм при «других» несчастных случаях была 40% (Backström and Döös, 1995).
Ситуация риска на автоматизированных установках оказалась как иной (по типу аварии, последовательности событий и степени тяжести травм), так и более сложной (как в техническом плане, так и в отношении необходимости специальных навыков), чем на установки, в которых используется обычное оборудование. Срок автоматизированный здесь подразумевается оборудование, которое без непосредственного вмешательства человека может либо инициировать движение машины, либо изменить его направление или функцию. Для такого оборудования требуются сенсорные устройства (например, датчики положения или микропереключатели) и/или некоторая форма последовательного управления (например, компьютерная программа) для управления и контроля их действий. За последние десятилетия а Программируемый логический контроллер (ПЛК) все чаще используется в качестве блока управления в производственных системах. Небольшие компьютеры в настоящее время являются наиболее распространенным средством управления производственным оборудованием в промышленно развитых странах, в то время как другие средства управления, такие как электромеханические устройства, становятся все менее и менее распространенными. В шведской обрабатывающей промышленности использование станков с числовым программным управлением (ЧПУ) увеличивалось на 11–12 % в год в течение 1980-х годов (Hörte and Lindberg, 1989). В современном промышленном производстве получение травм от «движущихся частей машин» все больше становится эквивалентным травме от «движений машин, управляемых компьютером».
Автоматизированные установки встречаются во все большем количестве отраслей промышленности, и они имеют все большее количество функций. Управление складами, обработка материалов, обработка, сборка и упаковка — все автоматизировано. Серийное производство стало напоминать серийное производство. Если подача, обработка и выталкивание заготовок механизированы, оператору больше не нужно находиться в зоне риска в ходе обычного бесперебойного производства. Научные исследования автоматизированного производства показали, что несчастные случаи происходят в первую очередь при устранении нарушений, влияющих на производство. Однако люди также могут мешать движению машины при выполнении других задач, таких как очистка, регулировка, сброс, контроль и ремонт.
Когда производство автоматизировано и процесс больше не находится под непосредственным контролем человека, возрастает риск непредвиденных движений машины. Большинство операторов, работающих с группами или линиями взаимосвязанных машин, сталкивались с такими неожиданными перемещениями машин. Много несчастные случаи с автоматикой возникают в результате именно таких движений. Аварией, связанной с автоматизацией, является авария, при которой автоматическое оборудование контролировало (или должно было контролировать) энергию, вызвавшую травму. Это означает, что сила, причиняющая вред человеку, исходит от самой машины (например, энергия движения машины). При изучении 177 несчастных случаев, связанных с автоматикой в Швеции, было установлено, что травмы были вызваны «неожиданным запуском» части машины в 84% случаев (Backström and Harms-Ringdahl, 1984). Типичный пример травмы, вызванной движением машины, управляемой компьютером, показан на рисунке 2.
Рисунок 2. Типичный пример травмы, вызванной движением машины, управляемой компьютером
Одно из исследований, упомянутых выше (Backström and Döös, 1995), показало, что автоматически управляемые движения машин были причинно связаны с более длительными периодами отпуска по болезни, чем с травмами, вызванными другими видами движений машин, при этом медианное значение было в четыре раза выше на одном из рабочих мест. . Характер травм при авариях, связанных с автоматикой, был аналогичен таковому при других авариях с машинами (в основном с участием рук и пальцев), но прежние виды травм имели тенденцию быть более серьезными (ампутации, раздавливания и переломы).
Компьютерное управление, как и ручное, имеет слабые места с точки зрения надежности. Нет никакой гарантии, что компьютерная программа будет работать без ошибок. Электроника с низким уровнем сигнала может быть чувствительна к помехам, если она не защищена должным образом, и последствия возникающих отказов не всегда можно предсказать. Кроме того, программные изменения часто остаются недокументированными. Одним из методов, используемых для компенсации этой слабости, является, например, эксплуатация «двойных» систем, в которых есть две независимые цепочки функциональных компонентов, и метод мониторинга, при котором обе цепочки отображают одно и то же значение. Если системы отображают разные значения, это указывает на сбой в одной из них. Но существует вероятность того, что обе цепи компонентов могут страдать от одной и той же неисправности и что они обе могут быть выведены из строя одним и тем же возмущением, тем самым давая ложноположительные показания (поскольку обе системы согласны). Однако лишь в нескольких исследованных случаях удалось связать аварию с отказом компьютера (см. ниже), несмотря на то, что обычно один компьютер управляет всеми функциями установки (даже остановкой машина в результате срабатывания защитного устройства). В качестве альтернативы можно рассмотреть вопрос о предоставлении испытанной системы с электромеханическими компонентами для функций безопасности.
Технические проблемы
В целом можно сказать, что одна авария имеет множество причин, в том числе технических, индивидуальных, экологических и организационных. В профилактических целях аварию лучше всего рассматривать не как изолированное событие, а как последовательность событий или процесса (Backström 1996). В случае автоматических аварий было показано, что технические проблемы часто являются частью такой последовательности и возникают либо на одной из ранних стадий процесса, либо в непосредственной близости от травмоопасного события аварии. Исследования, в которых изучались технические проблемы, связанные с авариями, связанными с автоматизацией, показывают, что они являются причиной от 75 до 85% аварий. В то же время в каждом конкретном случае обычно имеют место и другие причины, например, организационного характера. Лишь в десятой части случаев установлено, что непосредственным источником энергии, вызывающей травму, может быть техническая неисправность, например, движение машины, происходящее, несмотря на то, что машина находится в положении остановки. Аналогичные цифры были получены и в других исследованиях. Обычно техническая проблема приводила к проблемам с оборудованием, так что оператору приходилось переключать задачи (например, переустанавливать деталь, находившуюся в кривом положении). Авария тогда произошла во время выполнения задачи, вызванной техническим сбоем. Четверти аварий автоматизации предшествовало нарушение потока материалов, например, застревание детали, ее кривое или иное неправильное положение (см. рис. 3).
Рисунок 3. Типы технических проблем, связанных с авариями автоматизации (количество аварий = 127)
При изучении 127 несчастных случаев, связанных с автоматизацией, 28 из этих несчастных случаев, описанных на рис. 4, были дополнительно исследованы для определения типов технических проблем, которые были задействованы в качестве причинных факторов (Бакстрём и Дёёс, в печати). Проблемы, указанные в расследовании авиационных происшествий, чаще всего были вызваны заклиниванием, неисправностью или износом компонентов. В двух случаях проблема была вызвана ошибкой компьютерной программы, а в одном — электромагнитными помехами. Более чем в половине случаев (17 из 28) неисправности существовали в течение некоторого времени, но не были устранены. Только в 5 из 28 случаев, когда упоминалась техническая неисправность или отклонение, дефект был обнаружен. не проявлялось ранее. Некоторые неисправности были устранены только для того, чтобы снова появиться позже. Одни дефекты присутствовали с момента установки, другие возникли в результате износа и воздействия окружающей среды.
Доля аварий автоматики, происходящих при устранении нарушений в производстве, составляет, по данным большинства исследований, от одной трети до двух третей всех случаев. Другими словами, существует общее мнение, что устранение производственных нарушений является опасной профессиональной задачей. Различия в степени возникновения таких несчастных случаев имеют множество объяснений, в том числе связанные с типом производства и классификацией профессиональных задач. В некоторых исследованиях возмущений рассматривались только проблемы и остановки машин в ходе нормального производства; в других рассматривался более широкий круг проблем, например, связанных с организацией работы.
Очень важным мероприятием по предупреждению аварий автоматики является подготовка процедур по устранению причин производственных нарушений с тем, чтобы они не повторялись. В специальном исследовании производственных нарушений во время несчастного случая (Döös and Backström 1994) было обнаружено, что наиболее распространенной задачей, которую вызывали нарушения, было освобождение или исправление положения заготовки, которая застряла или неправильно застряла. размещен. Этот тип проблемы инициировал одну из двух довольно похожих последовательностей событий: (1) деталь была освобождена и заняла правильное положение, машина получила автоматический сигнал на запуск, и человек был ранен в результате инициированного движения машины, (2 ) не было времени, чтобы часть освободилась или переместилась, прежде чем человек получил травму в результате движения машины, которое произошло неожиданно, быстрее или имело большую силу, чем ожидал оператор. Другие действия по устранению неполадок включали подачу импульса датчика, освобождение застрявшей части машины, поиск простых неисправностей и организацию перезапуска (см. рис. 4).
Рисунок 4. Тип обработки возмущений во время аварии (количество аварий =76)
Безопасность рабочих
Категории персонала, склонные к травматизму при авариях автоматики, зависят от того, как организована работа, т. е. от того, какая профессиональная группа выполняет опасные работы. На практике это вопрос того, какое лицо на рабочем месте назначается для решения проблем и нарушений на регулярной основе. В современной шведской промышленности обычно требуется активное вмешательство людей, управляющих машиной. Вот почему в ранее упомянутом исследовании на производстве транспортных средств в Швеции (Backström and Döös, принято к публикации) было обнаружено, что 82% людей, получивших травмы от автоматических машин, были производственными рабочими или операторами. У операторов также была более высокая относительная частота несчастных случаев (15 несчастных случаев с автоматикой на 1,000 операторов в год), чем у ремонтников (6 на 1,000). Результаты исследований, указывающие на то, что ремонтные работники страдают больше, по крайней мере, частично объясняются тем фактом, что операторам не разрешается входить в зоны механической обработки на некоторых предприятиях. В организациях с другим типом распределения задач другим категориям персонала, например, наладчикам, может быть поручено решение любых возникающих производственных задач.
Наиболее распространенной корректирующей мерой, принимаемой в этой связи для повышения уровня личной безопасности, является защита человека от опасных движений машины с помощью какого-либо предохранительного устройства, такого как ограждение машины. Основным принципом здесь является принцип «пассивной» безопасности, т. е. обеспечения защиты, не требующей действий со стороны работника. Однако невозможно судить об эффективности защитных устройств без очень хорошего знакомства с фактическими требованиями к работе на рассматриваемой машине, форма знаний, которой обычно обладают только сами операторы машин.
Есть много факторов, которые могут вывести из строя даже то, что на первый взгляд является хорошей защитой машины. Для выполнения своей работы операторам может потребоваться отключить предохранительное устройство или обойти его. В одном исследовании (Döös and Backström 1993) было обнаружено, что такое отключение или обход имели место в 12 из 75 охваченных аварий с автоматизацией. Часто это связано с амбициозностью оператора и его нежеланием мириться ни с производственными проблемами, ни с задержкой производственного процесса, связанными с исправлением нарушений в соответствии с инструкциями. Один из способов избежать этой проблемы — сделать защитное устройство незаметным, чтобы оно не влияло на темпы производства, качество продукции или выполнение поставленных задач. Но это не всегда возможно; а при повторяющихся нарушениях производства даже незначительные неудобства могут побудить людей не использовать предохранительные устройства. Опять же, должны быть доступны процедуры для устранения причин производственных нарушений, чтобы они не повторялись. Отсутствие средств подтверждения того, что устройства безопасности действительно функционируют в соответствии со спецификациями, является еще одним значительным фактором риска. Неисправные соединения, пусковые сигналы, которые остаются в системе и впоследствии приводят к неожиданным пускам, повышение давления воздуха и отсоединение датчиков могут привести к выходу из строя защитного оборудования.
Обзор
Как было показано, технические решения проблем могут порождать новые проблемы. Хотя травмы вызываются движениями машин, которые по своей сути носят технический характер, это не означает автоматически, что возможность их искоренения кроется в чисто технических факторах. Технические системы будут продолжать давать сбои, и люди не смогут справиться с ситуациями, которые порождают эти сбои. Риски будут по-прежнему существовать, и их можно контролировать только с помощью самых разнообразных средств. Законодательство и контроль, организационные меры в отдельных компаниях (в форме обучения, проверок безопасности, анализа рисков и сообщений о нарушениях и близких к авариям), а также упор на постоянные, непрерывные улучшения - все это необходимо в качестве дополнения к чисто техническому развитию.
Кажется, что существует столько же потенциальных опасностей, создаваемых движущимися частями машин, сколько существует различных типов машин. Меры предосторожности необходимы для защиты работников от ненужных и предотвратимых травм, связанных с оборудованием. Поэтому любая часть машины, функция или процесс, которые могут привести к травмам, должны быть защищены. Там, где работа машины или случайный контакт с ней могут нанести травму оператору или другим лицам, находящимся поблизости, опасность необходимо либо контролировать, либо устранять.
Механические движения и действия
Механические опасности обычно связаны с опасными движущимися частями в следующих трех основных областях:
Широкий спектр механических движений и действий, которые могут представлять опасность для рабочих, включает в себя движение вращающихся элементов, возвратно-поступательных движений, движущихся ремней, зубчатых зацеплений, режущих зубьев и любых частей, которые ударяются или срезают. Эти различные типы механических движений и действий являются основными практически для всех машин, и их распознавание является первым шагом к защите рабочих от опасностей, которые они могут представлять.
Предложения
Различают три основных типа движения: вращательное, возвратно-поступательное и поперечное.
Вращательное движение может быть опасным; даже гладкие, медленно вращающиеся валы могут зажать одежду и привести руку или кисть в опасное положение. Травмы из-за контакта с вращающимися частями могут быть серьезными (см. рис. 1).
Рисунок 1. Механический штамповочный пресс
Втулки, муфты, кулачки, муфты, маховики, концы валов, шпиндели и горизонтальные или вертикальные валы являются некоторыми примерами обычных вращающихся механизмов, которые могут быть опасными. Существует дополнительная опасность, когда болты, зазубрины, потертости и выступающие шпонки или установочные винты находятся на вращающихся частях машин, как показано на рис. 2.
Рисунок 2. Примеры опасных выступов на вращающихся частях
Контрольная точка в бегеs создаются вращающимися частями машин. Существует три основных типа точек захвата во время бега:
Рис. 3. Общие точки захвата на вращающихся деталях
Рис. 4. Точки зажима между вращающимися элементами и деталями с продольными перемещениями
Рис. 5. Точки зажима между вращающимися компонентами машины
Возвратно-поступательные движения может быть опасным, потому что во время движения вперед-назад или вверх-вниз рабочий может быть поражен или зажат между движущейся частью и неподвижной частью. Пример показан на рисунке 6.
Рисунок 6. Опасное возвратно-поступательное движение
Поперечное движение (движение по прямой, непрерывной линии) создает опасность, поскольку рабочий может быть защемлен или защемлен движущейся частью. Пример поперечного движения показан на рисунке 7.
Рисунок 7. Пример поперечного движения
Действия
Существует четыре основных типа действия: резка, пробивка, резка и изгибание.
Режущее действие включает в себя вращательное, возвратно-поступательное или поперечное движение. Режущее действие создает опасность в месте работы, когда могут быть травмированы пальцы, голова и рука, а летящие стружки или обрезки материала могут попасть в глаза или лицо. Типичными примерами машин с опасностью пореза являются ленточные пилы, циркулярные пилы, расточные или сверлильные станки, токарные станки (токарные станки) и фрезерные станки. (См. рис. 8.)
Рисунок 8. Примеры опасности пореза
Ударное действие возникает при приложении силы к ползуну (ползунку) с целью вырубки, волочения или штамповки металла или других материалов. Опасность этого типа действия возникает в момент операции, когда приклад вставляется, удерживается и извлекается вручную. Типичными машинами, в которых используется пробивное действие, являются силовые прессы и железоделательные станки. (См. рис. 9.)
Рисунок 9. Типичная операция пробивки отверстий
Режущее действие включает в себя приложение силы к слайду или ножу для обрезки или резки металла или других материалов. Опасность возникает в точке операции, где заготовка фактически вставляется, удерживается и извлекается. Типичными примерами машин, используемых для резки, являются ножницы с механическим, гидравлическим или пневматическим приводом. (См. рис. 10.)
Рисунок 10. Операция стрижки
Изгибающее действие возникает, когда к слайду прикладывается сила для придания формы, волочения или штамповки металла или других материалов. Опасность возникает в момент операции, когда приклад вставляется, удерживается и извлекается. К оборудованию, использующему гибочное действие, относятся силовые прессы, листогибочные прессы и трубогибочные станки. (См. рис. 11.)
Рисунок 11. Операция гибки
Требования к гарантиям
Меры предосторожности должны соответствовать следующим минимальным общим требованиям для защиты работников от механических опасностей:
Предотвратить контакт. Меры предосторожности должны предотвращать контакт рук, рук или любой части тела или одежды рабочего с опасными движущимися частями, исключая возможность того, что операторы или другие рабочие поместят части своего тела рядом с опасными движущимися частями.
Обеспечьте безопасность. Рабочие не должны иметь возможности легко снимать или вмешиваться в защиту. Ограждения и предохранительные устройства должны быть изготовлены из прочного материала, который выдержит условия нормального использования и надежно закреплен на машине.
Защищайтесь от падающих предметов. Меры предосторожности должны гарантировать, что никакие предметы не могут упасть на движущиеся части и повредить оборудование или превратиться в снаряд, который может ударить кого-либо и нанести травму.
Не создавать новых опасностей. Защита теряет свою цель, если она создает собственную опасность, такую как точка сдвига, зазубренный край или необработанная поверхность. Края ограждений, например, должны быть завальцованы или скреплены болтами таким образом, чтобы исключить острые края.
Не создавать помех. Меры предосторожности, которые мешают работникам выполнять свою работу, вскоре могут быть отменены или проигнорированы. По возможности рабочие должны иметь возможность смазывать машины, не отсоединяя и не снимая предохранительные устройства. Например, расположение масляных резервуаров за пределами ограждения с линией, ведущей к точке смазки, уменьшит необходимость входа в опасную зону.
Обучение технике безопасности
Даже самая сложная система защиты не может обеспечить эффективную защиту, если работники не знают, как ее использовать и почему. Специальное и подробное обучение является важной частью любых усилий по обеспечению защиты от опасностей, связанных с машинами. Надлежащая защита может повысить производительность и повысить эффективность, поскольку она может уменьшить опасения рабочих по поводу травм. Обучение мерам безопасности необходимо для новых операторов и обслуживающего или наладочного персонала, когда вводятся в эксплуатацию какие-либо новые или измененные меры безопасности или когда рабочие назначаются на новую машину или операцию; она должна включать инструктаж или практическое обучение следующему:
Методы защиты машин
Есть много способов защитить технику. Тип операции, размер или форма заготовки, метод обработки, физическая планировка рабочей зоны, тип материала и производственные требования или ограничения помогут определить подходящий метод защиты для отдельной машины. Разработчик машин или специалист по технике безопасности должен выбрать наиболее эффективную и практичную защиту.
Гарантии можно разделить на пять основных категорий: (1) ограждения, (2) устройства, (3) разделение, (4) операции и (5) прочее.
Охрана с помощью охранников
Существует четыре основных типа ограждений (барьеров, препятствующих доступу в опасные зоны):
Фиксированная охрана. Неподвижный защитный кожух является постоянной частью машины и не зависит от движущихся частей для выполнения своей предполагаемой функции. Он может быть изготовлен из листового металла, экрана, проволочной сетки, стержней, пластика или любого другого материала, достаточно прочного, чтобы выдерживать любые удары, которые он может получить, и выдерживать длительное использование. Фиксированные ограждения обычно предпочтительнее всех других типов из-за их относительной простоты и постоянства (см. таблицу 1).
Таблица 1. Ограждения машины
Способ доставки |
Защитное действие |
Преимущества |
Ограничения |
Исправлена |
· Обеспечивает барьер |
· Подходит для многих конкретных приложений |
· Может мешать видимости |
Сблокированная |
· Отключает или отключает питание и предотвращает запуск машины, когда ограждение открыто; должен требовать остановки машины, прежде чем рабочий сможет проникнуть в опасную зону |
· Обеспечивает максимальную защиту |
· Требует тщательной настройки и обслуживания |
регулируемый |
· Обеспечивает барьер, который можно регулировать для облегчения различных производственных операций |
· Может быть сконструирован для многих конкретных применений |
· Оператор может войти в опасную зону: защита может быть не всегда полной |
Саморегулирующийся |
· Обеспечивает барьер, который перемещается в зависимости от размера груза, входящего в опасную зону |
· Готовые защитные кожухи имеются в продаже |
· Не всегда обеспечивает максимальную защиту |
На рис. 12 фиксированная защита силового пресса полностью закрывает место работы. Заготовка подается через боковое ограждение в зону штампа, а отходы выходят с противоположной стороны.
Рисунок 12. Фиксированная защита силового пресса
На рис. 13 изображена неподвижная защита кожуха, которая защищает ремень и шкив силовой передачи. Сверху имеется смотровая панель, чтобы свести к минимуму необходимость снятия защитного кожуха.
Рисунок 13. Неподвижное ограждение, закрывающее ремни и шкивы
На рис. 14 показаны неподвижные ограждения корпуса ленточной пилы. Эти ограждения защищают операторов от вращающихся колес и движущегося пильного диска. Обычно ограждения открываются или снимаются только для замены лезвия или для технического обслуживания. Очень важно, чтобы они были надежно закреплены во время использования пилы.
Рисунок 14. Фиксированные защитные кожухи на ленточной пиле
Сблокированные охранники. Когда заблокированные ограждения открываются или снимаются, расцепляющий механизм и/или питание автоматически отключаются или отключаются, и машина не может работать или запускаться до тех пор, пока защитное ограждение не вернется на место. Однако замена защитного ограждения не должна автоматически перезапускать машину. Защитные ограждения с блокировкой могут использовать электрическую, механическую, гидравлическую или пневматическую энергию или любую их комбинацию. Блокировки не должны препятствовать «медленному» (т. е. постепенному поступательному перемещению) с помощью дистанционного управления, если это необходимо.
Пример защитного ограждения показан на рис. 15. На этом рисунке ударный механизм сборочной машины (используемой в текстильной промышленности) закрыт защитным ограждением с блокировкой. Этот защитный кожух нельзя поднять во время работы машины, а также невозможно перезапустить машину, когда защитный кожух находится в поднятом положении.
Рисунок 15. Защитный кожух с блокировкой на сборочной машине
Регулируемые щитки. Регулируемые защитные кожухи обеспечивают гибкость при размещении различных размеров приклада. На рис. 16 показан регулируемый защитный кожух ленточной пилы.
Рисунок 16. Регулируемый защитный кожух на ленточной пиле
Саморегулирующиеся щитки. Отверстия саморегулирующихся кожухов определяются движением приклада. Когда оператор перемещает ложу в опасную зону, защитный кожух отодвигается, открывая достаточно большое отверстие, чтобы впустить только ложу. После снятия приклада защитный кожух возвращается в исходное положение. Это ограждение защищает оператора, создавая барьер между опасной зоной и оператором. Ограждения могут быть изготовлены из пластика, металла или другого прочного материала. Саморегулирующиеся защитные кожухи предлагают различные степени защиты.
На рис. 17 показана радиально-консольная пила с саморегулирующимся защитным кожухом. Когда лезвие проходит через ложу, защитный кожух поднимается, оставаясь в контакте с ложей.
Рисунок 17. Саморегулирующийся защитный кожух на радиально-консольной пиле
Защита с помощью устройств
Устройства безопасности могут остановить машину, если рука или какая-либо часть тела непреднамеренно окажется в опасной зоне, могут заблокировать или вывести руки оператора из опасной зоны во время работы, могут потребовать от оператора одновременного использования обеих рук на органах управления машиной ( таким образом защищая как руки, так и тело от опасности) или может обеспечить барьер, который синхронизирован с рабочим циклом машины, чтобы предотвратить проникновение в опасную зону во время опасной части цикла. Существует пять основных типов устройств безопасности, а именно:
Датчики присутствия
Ниже описаны три типа сенсорных устройств, которые останавливают машину или прерывают рабочий цикл или операцию, если рабочий находится в опасной зоне:
Ассоциация фотоэлектрический (оптический) датчик присутствия использует систему источников света и средств управления, которые могут прервать рабочий цикл машины. Если световое поле нарушено, машина останавливается и не работает. Это устройство следует использовать только на машинах, которые можно остановить до того, как рабочий достигнет опасной зоны. На рис. 18 показано фотоэлектрическое устройство обнаружения присутствия, используемое с листогибочным прессом. Устройство можно поворачивать вверх или вниз в соответствии с различными производственными требованиями.
Рис. 18. Фотоэлектрический датчик присутствия на листогибочном прессе
Ассоциация радиочастотный (емкостный) датчик присутствия использует радиолуч, который является частью схемы управления. Когда поле емкости нарушается, машина останавливается или не активируется. Это устройство следует использовать только на машинах, которые можно остановить до того, как рабочий сможет добраться до опасной зоны. Это требует, чтобы машина имела фрикционную муфту или другие надежные средства для остановки. На рис. 19 показано радиочастотное устройство обнаружения присутствия, установленное на неполнооборотном силовом прессе.
Рис. 19. Радиочастотный датчик присутствия на электропиле
Ассоциация электромеханический датчик имеет датчик или контактный стержень, который опускается на заданное расстояние, когда оператор запускает машинный цикл. Если имеется препятствие, препятствующее его полному спуску на заданное расстояние, схема управления не запускает машинный цикл. На рис. 20 показано электромеханическое сенсорное устройство на петле. Также показан датчик, находящийся в контакте с пальцем оператора.
Рис. 20. Электромеханический датчик на букмекерской машине.
Откатные устройства
Устройства обратного хода используют ряд тросов, прикрепленных к рукам, запястьям и/или рукам оператора, и в основном используются на машинах с ходовым действием. Когда ползун/штанга подняты, оператору разрешен доступ к точке операции. Когда ползун/цилиндр начинает опускаться, механическое соединение автоматически обеспечивает удаление рук из точки операции. На рис. 21 показано устройство отвода на маленьком прессе.
Рис. 21. Отводное устройство силового пресса
Удерживающие устройства
В некоторых странах используются удерживающие устройства, в которых используются тросы или ремни, прикрепленные между фиксированной точкой и руками оператора. Эти устройства, как правило, не считаются приемлемыми средствами защиты, поскольку оператор может легко обойти их, что позволяет поместить руки в опасную зону. (См. таблицу 2.)
Таблица 2. Устройства
Способ доставки |
Защитное действие |
Преимущества |
Ограничения |
фотоэлектрический |
· Машина не начнет цикл, когда световое поле прервано |
· Может обеспечить более свободное передвижение оператора |
· Не защищает от механических повреждений |
Радиочастотный |
· Машинный цикл не запускается, когда поле емкости прерывается |
· Может обеспечить более свободное передвижение оператора |
· Не защищает от механических повреждений |
Электро-механический |
· Контактная планка или зонд перемещаются на заданное расстояние между оператором и опасной зоной |
· Может разрешить доступ в точке операции |
· Контактная планка или датчик должны быть правильно отрегулированы для каждого применения; эта регулировка должна поддерживаться должным образом |
Препятствие |
· Когда машина начинает работать, руки оператора убираются из опасной зоны. |
· Устраняет необходимость в дополнительных барьерах или других помехах в опасной зоне |
· Ограничивает движение оператора |
Органы управления защитным отключением: |
· Останавливает машину при срабатывании |
· Простота использования |
· Все элементы управления должны быть активированы вручную |
Двуручное управление |
· Требуется одновременное использование обеих рук, чтобы предотвратить попадание оператора в опасную зону |
· Руки оператора находятся в заданном месте вдали от опасной зоны |
· Требуется машина неполного цикла с тормозом |
Поездка в две руки |
· Одновременное использование двух рук на разных элементах управления предотвращает попадание рук в опасную зону при запуске машинного цикла |
· Руки оператора находятся вне опасной зоны |
· Оператор может попытаться проникнуть в опасную зону после отключения машины |
Клиновая задвижка |
· Обеспечивает барьер между опасной зоной и оператором или другим персоналом |
· Может предотвратить попадание в опасную зону или вход в нее |
· Может потребоваться частый осмотр и регулярное техническое обслуживание |
Устройства контроля безопасности
Все эти устройства управления безопасностью активируются вручную и должны быть сброшены вручную, чтобы перезапустить машину:
Рис. 22. Чувствительный к давлению корпус на резиновой мельнице
Рис. 23. Предохранительный стержень на резиновой мельнице.
Рис. 24. Страховочный трос на каландре
Рис. 25. Кнопки управления двумя руками на силовом прессе неполнооборотного сцепления
Рис. 26. Кнопки управления двумя руками на полнооборотном усилителе сцепления
Рисунок 27. Силовой жим с воротами
Охрана по местоположению или расстоянию
Для защиты машины по местоположению машина или ее опасные движущиеся части должны быть расположены таким образом, чтобы опасные зоны были недоступны или не представляли опасности для рабочего при нормальной работе машины. Это может быть достигнуто с помощью ограждающих стен или ограждений, которые ограничивают доступ к машинам, или путем размещения машины таким образом, чтобы элемент конструкции предприятия, такой как стена, защищал рабочего и другой персонал. Другая возможность заключается в том, чтобы опасные части располагались достаточно высоко, чтобы они были вне досягаемости любого рабочего. Тщательный анализ опасностей каждой машины и конкретной ситуации необходим, прежде чем пытаться использовать этот метод защиты. Упомянутые ниже примеры — это лишь некоторые из многочисленных применений принципа защиты по местоположению/расстоянию.
Процесс кормления. Процесс кормления может быть защищен по месту, если сохраняется безопасное расстояние для защиты рук работника. Размеры обрабатываемого материала могут обеспечить достаточную безопасность. Например, при работе на одностороннем пробивном станке, если заготовка имеет длину несколько футов и обрабатывается только один конец заготовки, оператор может удерживать противоположный конец во время выполнения работы. Однако, в зависимости от машины, может потребоваться защита для другого персонала.
Управление позиционированием. Позиционирование поста управления оператора обеспечивает потенциальный подход к обеспечению безопасности по местоположению. Элементы управления оператора могут быть расположены на безопасном расстоянии от машины, если у оператора нет необходимости находиться рядом с машиной.
Способы защиты при кормлении и выбросе
Многие методы подачи и выброса не требуют, чтобы операторы помещали руки в опасную зону. В некоторых случаях после настройки машины участие оператора не требуется, тогда как в других ситуациях операторы могут вручную подавать материал с помощью механизма подачи. Кроме того, могут быть разработаны методы выброса, которые не требуют участия оператора после того, как машина начнет работать. Некоторые методы подачи и выброса могут даже сами создавать опасности, например, робот, который может устранить необходимость присутствия оператора рядом с машиной, но может создать новую опасность движением своей руки. (См. таблицу 3.)
Таблица 3. Способы подачи и выброса
Способ доставки |
Защитное действие |
Преимущества |
Ограничения |
Автоматическая подача |
· Заготовка подается с рулонов, индексируется машинным механизмом и т.д. |
· Устраняет необходимость участия оператора в опасной зоне |
· Другие ограждения также необходимы для защиты оператора — обычно это фиксированные барьерные ограждения. |
Полуавтоматические |
· Заготовка подается по желобам, подвижным штампам, циферблатам |
· Устраняет необходимость участия оператора в опасной зоне |
· Другие ограждения также необходимы для защиты оператора — обычно это фиксированные барьерные ограждения. |
Автоматический |
· Заготовки выбрасываются воздушным или механическим способом |
· Устраняет необходимость участия оператора в опасной зоне |
· Может создавать опасность выдувания стружки или мусора |
Полуавтоматические |
· Заготовки выбрасываются механическим |
· Оператору не нужно входить в опасную зону, чтобы убрать готовую работу |
· Для оператора требуются другие ограждения |
Роботы |
· Они выполняют работу, обычно выполняемую оператором |
· Оператору не нужно входить в опасную зону |
· Могут сами создавать опасности |
Использование одного из следующих пяти методов подачи и выброса для защиты машин не устраняет необходимость в ограждениях и других устройствах, которые должны использоваться по мере необходимости для обеспечения защиты от воздействия опасностей.
Автоматическая подача. Автоматическая подача снижает нагрузку на оператора во время рабочего процесса и часто не требует от оператора никаких усилий после настройки и запуска машины. Силовой пресс на рис. 28 имеет автоматический механизм подачи с неподвижной прозрачной защитой корпуса в опасной зоне.
Рисунок 28. Силовой пресс с автоматической подачей
Полуавтоматическая подача. При полуавтоматической подаче, как и в случае силового пресса, оператор использует механизм для помещения обрабатываемой детали под ползун при каждом ходе. Оператору не нужно проникать в опасную зону, и опасная зона полностью закрыта. На рис. 29 показан лоток подачи, в который каждая деталь помещается вручную. Использование желоба на наклонном прессе не только помогает центрировать деталь, когда она скользит в матрицу, но также может упростить проблему выброса.
Рисунок 29. Силовой пресс с желобной подачей
Автоматический выброс. Автоматическое выталкивание может использовать либо давление воздуха, либо механическое устройство для удаления готовой детали из пресса, и может быть заблокировано с элементами управления для предотвращения работы до завершения выталкивания детали. Механизм панорамирования, показанный на рис. 30, перемещается под готовую деталь по мере того, как ползун перемещается в верхнее положение. Затем челнок захватывает часть, снятую с ползуна, с помощью выбивных штифтов и отклоняет ее в желоб. Когда плунжер перемещается вниз к следующей заготовке, лотковый челнок отходит от области штампа.
Рисунок 30. Система выброса челнока
Полуавтоматический выброс. На рис. 31 показан полуавтоматический механизм выталкивания, используемый в силовом прессе. Когда плунжер выводится из зоны штампа, ножка выталкивателя, механически соединенная с плунжером, выталкивает завершенную работу.
Рисунок 31. Полуавтоматический механизм выброса
Роботы. Роботы — это сложные устройства, которые загружают и разгружают запасы, собирают детали, перемещают объекты или выполняют работу, которую иным образом выполняет оператор, тем самым устраняя опасность для оператора. Их лучше всего использовать в высокопроизводительных процессах, требующих повторяющихся процедур, где они могут защитить сотрудников от других опасностей. Роботы могут создавать опасности, поэтому необходимо использовать соответствующие средства защиты. На рис. 32 показан пример робота, питающего пресс.
Рис. 32. Использование барьерных ограждений для защиты корпуса робота
Разные средства защиты
Хотя различные средства защиты не обеспечивают полной защиты от опасностей, связанных с машиной, они могут предоставить операторам дополнительный запас безопасности. При их применении и использовании необходим здравый смысл.
Барьеры осознания. Оповещающие барьеры не обеспечивают физическую защиту, а служат только для напоминания операторам о приближении к опасной зоне. Как правило, информационные барьеры не считаются достаточными, когда существует постоянное воздействие опасности. На рис. 33 показана веревка, используемая в качестве барьера осознания на задней части механических ножниц для выравнивания кромок. Барьеры физически не препятствуют проникновению людей в опасные зоны, а только обеспечивают осведомленность об опасности.
Рис. 33. Вид сзади квадрата силового сдвига
Щиты. Экраны могут использоваться для защиты от летящих частиц, брызг жидкостей для металлообработки или охлаждающих жидкостей. На рис. 34 показаны два возможных применения.
Рисунок 34. Применение щитов
Инструменты для удержания. Удерживающие инструменты размещают и снимают инвентарь. Типичное использование - доступ в опасную зону листогибочного пресса или листогибочного пресса. На рис. 35 показан набор инструментов для этой цели. Удерживающие инструменты не должны использоваться вместо других средств защиты машины; они просто дополнение к защите, которую обеспечивают другие охранники.
Рисунок 35. Удерживающие инструменты
Толкайте палочки или блоки, как показано на рисунке 36, можно использовать при подаче заготовки в станок, например, в пильный диск. Когда становится необходимо, чтобы руки находились в непосредственной близости от лезвия, толкатель или блок могут обеспечить запас безопасности и предотвратить травму.
Рисунок 36. Использование толкателя или толкателя
Общие разработки в области микроэлектроники и технологии датчиков дают основания надеяться, что повышение безопасности труда может быть достигнуто за счет наличия надежных, выносливых, неприхотливых и недорогих датчиков присутствия и приближения. В этой статье будут описаны сенсорные технологии, различные процедуры обнаружения, условия и ограничения, применимые к использованию сенсорных систем, а также некоторые завершенные исследования и работы по стандартизации в Германии.
Критерии детектора присутствия
Разработка и практическое испытание датчиков присутствия является одним из самых серьезных будущих вызовов для технических усилий по повышению безопасности труда и защиты персонала в целом. Датчики присутствия датчики, которые надежно и достоверно сигнализируют о вблизи присутствия или приближения человека. Кроме того, это предупреждение должно поступать быстро, чтобы уклонение, торможение или отключение неподвижной машины могли произойти до того, как произойдет предполагаемый контакт. Независимо от того, большие люди или маленькие, какова их поза или как они одеты, это не должно влиять на надежность датчика. Кроме того, датчик должен обладать надежностью функционирования, быть прочным и недорогим, чтобы его можно было использовать в самых сложных условиях, например, на строительных площадках и в мобильных приложениях, с минимальным обслуживанием. Датчики должны быть как подушка безопасности в том смысле, что они не требуют обслуживания и всегда готовы к работе. Учитывая нежелание некоторых пользователей обслуживать то, что они считают второстепенным оборудованием, датчики могут не обслуживаться годами. Еще одна особенность датчиков присутствия, которая, скорее всего, будет востребована, заключается в том, что они также обнаруживают препятствия, не являющиеся людьми, и вовремя предупреждают оператора о принятии защитных мер, что снижает затраты на ремонт и материальный ущерб. Это причина установки датчиков присутствия, которую нельзя недооценивать.
Приложения для детекторов
Бесчисленных несчастных случаев со смертельным исходом и серьезных травм, которые кажутся неизбежными, отдельными случайностями, можно избежать или свести к минимуму, если датчики присутствия станут более приемлемыми в качестве превентивной меры в области безопасности труда. Газеты слишком часто сообщают об этих авариях: здесь человек был сбит задним ходом погрузчика, там оператор не видел кого-то, кого задавило передним колесом экскаватора. Грузовики, движущиеся задним ходом по улицам, предприятиям и строительным площадкам, являются причиной многих несчастных случаев с людьми. Сегодняшние полностью рационализированные компании больше не предоставляют штурманов или других лиц, которые могли бы выступать в качестве проводников для водителя, который едет задним ходом. Эти примеры дорожно-транспортных происшествий можно легко распространить на другое мобильное оборудование, такое как вилочные погрузчики. Однако использование датчиков крайне необходимо для предотвращения аварий с участием полумобильного и чисто стационарного оборудования. Примером могут служить задние области больших погрузочных машин, которые были идентифицированы службой безопасности как потенциально опасные зоны, которые можно улучшить за счет использования недорогих датчиков. Многие варианты датчиков присутствия могут быть инновационно адаптированы к другим транспортным средствам и крупному мобильному оборудованию для защиты от типов аварий, обсуждаемых в этой статье, которые обычно приводят к значительным повреждениям и серьезным, если не смертельным, травмам.
Тенденция к более широкому распространению инновационных решений, по-видимому, обещает, что датчики присутствия станут стандартной технологией безопасности в других приложениях; однако нигде этого нет. Прорыв, мотивированный авариями и большим материальным ущербом, ожидается в мониторинге за фургонами и большегрузными автомобилями, а также в самых инновационных областях «новых технологий» — мобильных роботах будущего.
Разнообразие областей применения датчиков присутствия и изменчивость задач — например, допуск объектов (даже движущихся объектов при определенных условиях), которые принадлежат к области обнаружения и которые не должны вызывать срабатывание сигнала, — требуют датчиков, в которых « «интеллектуальная» технология оценки поддерживает механизмы сенсорной функции. Эта технология, которая является предметом будущего развития, может быть разработана на основе методов, основанных на области искусственного интеллекта (Шрайбер и Кун, 1995). На сегодняшний день ограниченная универсальность серьезно ограничивает текущее использование датчиков. Есть легкие шторы; световые полосы; контактные коврики; пассивные инфракрасные датчики; ультразвуковые и радарные датчики движения, использующие эффект Доплера; датчики, производящие измерения за истекшее время ультразвуковых, радиолокационных и световых импульсов; и лазерные сканеры. Обычные телевизионные камеры, подключенные к мониторам, в этот список не включены, поскольку они не являются датчиками присутствия. Однако включены те камеры, которые активируются автоматически при обнаружении присутствия человека.
Сенсорная техника
Сегодня основными задачами датчиков являются (1) оптимизация использования физических эффектов (инфракрасного, светового, ультразвукового, радиолокационного и т. д.) и (2) самоконтроль. Лазерные сканеры интенсивно разрабатываются для использования в качестве навигационных инструментов для мобильных роботов. Для этого должны быть решены две задачи, частично разные в принципе: навигация робота и защита присутствующих людей (и материалов или оборудования), чтобы их нельзя было ударить, наехать или схватить (Freund, Dierks and Rossman 1993). ). Будущие мобильные роботы не смогут сохранить ту же философию безопасности «пространственного разделения робота и человека», которая строго применяется к сегодняшним стационарным промышленным роботам. Это означает, что необходимо уделять большое внимание надежному функционированию используемого датчика присутствия.
Использование «новой технологии» часто связано с проблемами принятия, и можно предположить, что повсеместное использование мобильных роботов, которые могут перемещаться и захватывать людей на растениях, в местах общественного транспорта или даже в домах или зонах отдыха , будут приняты только в том случае, если они оснащены очень совершенными, сложными и надежными датчиками присутствия. Эффектных происшествий следует избегать любой ценой, чтобы не усугубить возможную проблему приемки. Текущий уровень затрат на разработку этого типа датчиков охраны труда и близко не подходит для учета этого соображения. Чтобы сэкономить много средств, датчики присутствия следует разрабатывать и тестировать одновременно с мобильными роботами и навигационными системами, а не после.
Применительно к автотранспортным средствам вопросы безопасности приобретают все большее значение. Инновационная безопасность пассажиров в автомобилях включает в себя трехточечные ремни безопасности, детские кресла, подушки безопасности и антиблокировочную тормозную систему, подтвержденную серийными краш-тестами. Эти меры безопасности составляют относительно растущую часть производственных затрат. Боковая подушка безопасности и системы радарных датчиков для измерения расстояния до впереди идущего автомобиля являются эволюционными разработками в области защиты пассажиров.
Повышенное внимание уделяется внешней безопасности автотранспортных средств, то есть защите третьих лиц. В последнее время требуется боковая защита, в первую очередь для грузовых автомобилей, чтобы исключить опасность попадания под задние колеса мотоциклистов, велосипедистов и пешеходов. Следующим логическим шагом будет мониторинг зоны позади больших транспортных средств с помощью датчиков присутствия и установка предупреждающего оборудования сзади. Положительным побочным эффектом этого будет обеспечение финансирования, необходимого для разработки, тестирования и предоставления максимально эффективных, самоконтролирующихся, не требующих обслуживания и надежно функционирующих недорогих датчиков для целей безопасности труда. Процесс испытаний, который будет сопровождаться широким внедрением датчиков или сенсорных систем, значительно облегчит инновации в других областях, таких как экскаваторы, тяжелые погрузчики и другие большие мобильные машины, которые в течение половины времени работают в резервном режиме. Эволюционный процесс от стационарных роботов к мобильным роботам является дополнительным путем развития датчиков присутствия. Например, можно было бы усовершенствовать датчики, которые в настоящее время используются в мобильных роботах-манипуляторах или «автономных фабричных тракторах», которые следуют по фиксированным траекториям и, следовательно, предъявляют относительно низкие требования к безопасности. Использование датчиков присутствия является следующим логическим шагом в повышении безопасности грузовых и пассажирских перевозок.
Процедуры обнаружения
Для оценки и решения вышеуказанных задач могут быть использованы различные физические принципы, доступные в связи с электронными методами измерения и самоконтроля и, в некоторой степени, высокопроизводительными вычислительными процедурами. Очевидно легкая и надежная работа автоматических машин (роботов), столь часто встречающаяся в научно-фантастических фильмах, возможно, будет реализована в реальном мире за счет использования методов визуализации и высокопроизводительных алгоритмов распознавания образов в сочетании с методами измерения расстояний, аналогичными тем используются лазерные сканеры. Необходимо признать парадоксальность ситуации, когда все, что кажется простым людям, для автоматов сложно. Например, такую сложную задачу, как превосходная игра в шахматы (которая требует активности переднего мозга), легче смоделировать и выполнить с помощью автоматических машин, чем такую простую задачу, как прямохождение или выполнение зрительно-моторной координации и другой координации движений (опосредованной средний и задний мозг). Некоторые из этих принципов, методов и процедур, применимых к датчикам, описаны ниже. В дополнение к ним существует большое количество специальных процедур для очень специальных задач, которые частично работают с комбинацией различных типов физических воздействий.
Светозащитные шторы и штанги. Среди первых датчиков присутствия были светозащитные шторы и решетки. У них плоская геометрия мониторинга; то есть тот, кто прошел барьер, больше не будет обнаружен. Рука оператора или наличие инструментов или деталей, которые держит оператор, например, могут быть быстро и надежно обнаружены с помощью этих устройств. Они вносят важный вклад в безопасность труда для машин (таких как прессы и штамповочные машины), которые требуют ручной загрузки материала. Статистическая надежность должна быть чрезвычайно высокой, потому что, когда рука достигает всего два-три раза в минуту, всего за несколько лет выполняется около миллиона операций. Взаимный самоконтроль компонентов отправителя и получателя был разработан на таком очень высоком техническом уровне, что представляет собой стандарт для всех других процедур обнаружения присутствия.
Контактные коврики (маты переключателей). Существуют как пассивные, так и активные (насосные) типы электрических и пневматических контактных матов и полов, которые изначально массово использовались в сервисных функциях (открыватели дверей), пока их не вытеснили датчики движения. Дальнейшее развитие происходит с использованием датчиков присутствия во всевозможных опасных зонах. Например, развитие автоматизированного производства с изменением функции рабочего — от управления машиной к строгому контролю за ее работой — вызвало соответствующий спрос на соответствующие детекторы. Стандартизация этого использования хорошо развита (DIN 1995a), а специальные ограничения (расположение, размер, максимально допустимые «мертвые» зоны) потребовали развития опыта для установки в этой области использования.
Интересные возможности использования контактных ковриков возникают в сочетании с несколькими роботизированными системами, управляемыми компьютером. Оператор переключает один или два элемента, чтобы датчик присутствия улавливал его точное положение и сообщал об этом компьютеру, который управляет системами управления роботами со встроенной системой предотвращения столкновений. В одном испытании, проведенном Немецким федеральным институтом безопасности (BAU), для этой цели под рабочей зоной робота-манипулятора был уложен контактный коврик, состоящий из небольших ковриков с электрическими переключателями (Freund, Dierks and Rossman, 1993). Этот датчик присутствия имел форму шахматной доски. Соответствующее активированное поле мата сообщало компьютеру положение оператора (рис. 1), и когда оператор подходил слишком близко к роботу, он удалялся. Без датчика присутствия роботизированная система не смогла бы определить положение оператора, и тогда оператор не мог бы быть защищен.
Рисунок 1. Человек (справа) и два робота в вычисляемых телах-обертках
Отражатели (датчики движения и датчики присутствия). Какими бы достойными ни были датчики, обсуждавшиеся до сих пор, они не являются датчиками присутствия в более широком смысле. Их пригодность — в первую очередь из соображений безопасности труда — для крупногабаритных транспортных средств и крупногабаритного мобильного оборудования предполагает две важные характеристики: (1) возможность наблюдения за территорией с одного места и (2) безошибочное функционирование без необходимости принятия дополнительных мер по часть — например, использование отражательных устройств. Обнаружение присутствия человека, входящего в контролируемую зону и остающегося остановленным до тех пор, пока этот человек не уйдет, также подразумевает необходимость обнаружения человека, стоящего абсолютно неподвижно. Это отличает так называемые датчики движения от датчиков присутствия, по крайней мере, в связи с мобильным оборудованием; Датчики движения почти всегда срабатывают, когда транспортное средство приводится в движение.
Датчики движения. Двумя основными типами датчиков движения являются: (1) «пассивные инфракрасные датчики» (PIRS), которые реагируют на наименьшее изменение инфракрасного луча в контролируемой области (наименьший обнаруживаемый луч составляет примерно 10-9 W с диапазоном длин волн примерно от 7 до 20 мкм); и (2) ультразвуковые и микроволновые датчики, использующие принцип Доплера, который определяет характеристики движения объекта по изменению частоты. Например, эффект Доплера увеличивает для наблюдателя частоту гудка локомотива, когда он приближается, и уменьшает частоту, когда локомотив удаляется. Эффект Доплера делает возможным создание относительно простых датчиков сближения, поскольку приемнику нужно только контролировать частоту сигнала соседних частотных диапазонов для появления доплеровской частоты.
В середине 1970-х годов использование детекторов движения стало преобладать в сервисных приложениях, таких как открывание дверей, защита от кражи и защита объектов. При стационарном использовании обнаружения приближающегося человека к опасному участку было достаточно для своевременного предупреждения или выключения машины. Это послужило основой для изучения пригодности детекторов движения для их использования в целях безопасности труда, особенно с помощью PIRS (Mester et al., 1980). Поскольку одетый человек обычно имеет более высокую температуру, чем окружающая среда (голова 34°C, руки 31°C), обнаружить приближающегося человека несколько легче, чем обнаружить неодушевленные предметы. В ограниченной степени части машины могут перемещаться в контролируемой зоне без срабатывания детектора.
Пассивный метод (без передатчика) имеет свои преимущества и недостатки. Преимущество состоит в том, что PIRS не создает проблем с шумом и электрическим смогом. Для защиты от кражи и защиты объектов особенно важно, чтобы детектор было нелегко найти. Однако датчик, который является только приемником, вряд ли может контролировать свою собственную эффективность, что очень важно для безопасности труда. Одним из способов преодоления этого недостатка было тестирование небольших модулированных (от 5 до 20 Гц) инфракрасных излучателей, которые устанавливались в контролируемой зоне и не вызывали срабатывания датчика, но чьи лучи регистрировались с фиксированным электронным усилением, настроенным на частоту модуляции. Эта модификация превратила его из «пассивного» датчика в «активный». Таким образом также можно было проверить геометрическую точность контролируемой области. Зеркала могут иметь слепые зоны, а направление пассивного датчика может быть сбито из-за грубой работы растения. На рис. 2 показан тестовый макет с ПИРС с контролируемой геометрией в виде мантии пирамиды. Благодаря большому радиусу действия пассивные инфракрасные датчики устанавливаются, например, в проходах стеллажей.
Рис. 2. Пассивный инфракрасный датчик как детектор приближения в опасной зоне
В целом испытания показали, что датчики движения не подходят для обеспечения безопасности труда. Пол ночного музея нельзя сравнивать с опасными зонами на рабочем месте.
Ультразвуковые, радиолокационные и светоимпульсные детекторы. Датчики, использующие принцип импульса/эха, т. е. измеряющие прошедшее время ультразвуковых, радарных или световых импульсов, имеют большой потенциал в качестве датчиков присутствия. С помощью лазерных сканеров световые импульсы могут проходить в быстрой последовательности (обычно вращательно), например, по горизонтали, а с помощью компьютера можно получить дальний профиль объектов на плоскости, отражающих свет. Если, например, требуется не только одна линия, но и все то, что находится перед мобильным роботом на высоте до 2 метров, то для изображения окружающего пространства необходимо обрабатывать большое количество данных. Будущий «идеальный» датчик присутствия будет состоять из комбинации следующих двух процессов:
На Рисунке 3 показано, из ранее упомянутого проекта BAU (Freund, Dierks and Rossman 1993), использование лазерного сканера на мобильном роботе, который также выполняет навигационные задачи (с помощью луча, определяющего направление) и защиту от столкновений с объектами в непосредственной близости. близость (через наземный измерительный луч для обнаружения присутствия). Учитывая эти особенности, мобильный робот имеет возможность активное автоматизированное свободное вождение (т.е. возможность объезжать препятствия). Технически это достигается за счет использования угла поворота сканера в 45° назад с обеих сторон (влево и вправо от робота) в дополнение к углу 180° вперед. Эти лучи связаны со специальным зеркалом, которое действует как световая завеса на полу перед мобильным роботом (обеспечивая линию обзора с земли). Если оттуда исходит лазерное отражение, робот останавливается. В то время как лазерные и световые сканеры, сертифицированные для использования в области безопасности труда, уже представлены на рынке, эти датчики присутствия имеют большой потенциал для дальнейшего развития.
Рис. 3. Мобильный робот с лазерным сканером для навигации и обнаружения присутствия
Ультразвуковые и радарные датчики, которые используют время от сигнала до отклика для определения расстояния, менее требовательны с технической точки зрения и, следовательно, могут производиться дешевле. Сенсорная область имеет булавовидную форму и имеет одну или несколько боковых бугорков меньшего размера, которые расположены симметрично. Скорость распространения сигнала (звук: 330 м/с; электромагнитная волна: 300,000 XNUMX км/с) определяет необходимую скорость используемой электроники.
Предупреждающие устройства задней зоны. На выставке в Ганновере в 1985 году BAU представила результаты первоначального проекта по использованию ультразвуковых датчиков для защиты территории позади больших транспортных средств (Langer and Kurfürst, 1985). Полноразмерная модель сенсорной головки, изготовленная из сенсоров Polaroid™, была установлена на задней стенке грузового автомобиля. На рис. 4 схематично показано его функционирование. Большой диаметр этого датчика создает относительно малоугловые (приблизительно 18°), дальнодействующие булавовидные измеряемые области, расположенные рядом друг с другом и настроенные на разные максимальные диапазоны сигнала. На практике это позволяет задать любую желаемую контролируемую геометрию, которая сканируется датчиками примерно четыре раза в секунду на присутствие или вход людей. Другие продемонстрированные системы предупреждения о тыле имели несколько параллельных отдельных датчиков.
Рисунок 4. Расположение измерительной головки и контролируемой области на задней стороне грузовика
Эта яркая демонстрация имела большой успех на выставке. Он показал, что обеспечение безопасности тыла крупных транспортных средств и оборудования изучается во многих местах, например, специализированными комитетами отраслевых торговых ассоциаций. (Berufsgenossenschaften), муниципальные страховщики от несчастных случаев (которые отвечают за муниципальный транспорт), чиновники государственного отраслевого надзора и производители датчиков, которые больше думали об автомобилях как о служебных транспортных средствах (в смысле сосредоточения внимания на парковочных системах для защиты от повреждения кузова). Спонтанно был сформирован специальный комитет, составленный из групп по продвижению устройств оповещения в тылу, и в качестве первой задачи он взял на себя подготовку списка требований с точки зрения безопасности труда. Прошло десять лет, за это время многое было проработано в области контроля тыла — возможно, самой важной задачи датчиков присутствия; но большой прорыв все еще отсутствует.
Было проведено множество проектов с ультразвуковыми датчиками, например, на кранах для сортировки круглого леса, гидравлических экскаваторах, специальных коммунальных транспортных средствах и других коммунальных транспортных средствах, а также на вилочных погрузчиках и погрузчиках (Schreiber, 1990). Предупреждающие устройства в задней части особенно важны для крупной техники, которая большую часть времени движется задним ходом. Ультразвуковые датчики присутствия используются, например, для защиты специализированных беспилотных транспортных средств, таких как роботизированные погрузочно-разгрузочные машины. По сравнению с резиновыми бамперами эти датчики имеют большую зону обнаружения, что обеспечивает торможение до того, как машина соприкоснется с объектом. Соответствующие датчики для автомобилей являются соответствующими разработками и предъявляют значительно менее жесткие требования.
Тем временем Комитет по техническим стандартам транспортных систем DIN разработал стандарт 75031 «Устройства обнаружения препятствий при движении задним ходом» (DIN 1995b). Требования и испытания были установлены для двух диапазонов: 1.8 м для грузовиков снабжения и 3.0 м — дополнительная зона предупреждения — для более крупных грузовиков. Контролируемая область устанавливается посредством распознавания цилиндрических пробных тел. Диапазон 3 м также является пределом того, что в настоящее время технически возможно, поскольку ультразвуковые датчики должны иметь закрытые металлические мембраны, учитывая их тяжелые условия работы. Устанавливаются требования к самоконтролю сенсорной системы, так как требуемая контролируемая геометрия может быть достигнута только системой из трех и более сенсоров. На рис. 5 показано устройство оповещения сзади, состоящее из трех ультразвуковых датчиков (Microsonic GmbH, 1996). То же самое относится к устройству оповещения в кабине водителя и типу предупредительного сигнала. Содержание стандарта DIN 75031 также изложено в международном техническом отчете ISO TR 12155 «Коммерческие автомобили — Устройство обнаружения препятствий при движении задним ходом» (ISO 1994). Различные производители датчиков разработали прототипы в соответствии с этим стандартом.
Рис. 5. Грузовик среднего размера, оборудованный сигнальным устройством сзади (фото Microsonic).
Заключение
С начала 1970-х годов несколько организаций и производителей датчиков работали над разработкой и внедрением «детекторов присутствия». В специальном приложении «задние сигнальные устройства» есть стандарт DIN 75031 и отчет ISO TR 12155. В настоящее время Deutsche Post AG проводит серьезные испытания. Несколько производителей датчиков оснастили такими устройствами пять грузовиков среднего размера. Положительный результат этого теста во многом отвечает интересам охраны труда. Как было подчеркнуто в самом начале, датчики присутствия в необходимом количестве представляют собой серьезную проблему для техники безопасности во многих упомянутых областях применения. Поэтому они должны быть реализованы с низкими затратами, если ущерб оборудованию, машинам и материалам и, прежде всего, травмы людей, часто очень серьезные, должны быть оставлены в прошлом.
Устройства управления и устройства, используемые для отключения и переключения, всегда должны обсуждаться в отношении технические системы, термин, используемый в этой статье для обозначения машин, установок и оборудования. Каждая техническая система выполняет определенную и поставленную практическую задачу. Если эта практическая задача должна быть выполнимой или даже возможной в безопасных условиях, необходимы соответствующие устройства управления безопасностью и переключатели. Такие устройства используются для того, чтобы инициировать управление, прерывать или замедлять ток и/или импульсы электрической, гидравлической, пневматической, а также потенциальной энергии.
Изоляция и энергосбережение
Изолирующие устройства используются для изоляции энергии путем отключения питающей линии между источником энергии и технической системой. Изолирующее устройство должно, как правило, обеспечивать однозначно определяемое фактическое отключение подачи энергии. Отключение энергоснабжения также всегда должно сочетаться с уменьшением запаса энергии во всех частях технической системы. Если техническая система питается от нескольких источников энергии, все эти питающие линии должны быть надежно изолированы. Лица, обученные обращению с соответствующим видом энергии и работающие на энергетическом конце технической системы, используют изолирующие устройства, чтобы защитить себя от опасностей, связанных с энергией. Из соображений безопасности эти лица всегда проверяют, чтобы в технической системе не осталось потенциально опасной энергии, например, констатируя отсутствие электрического потенциала в случае электрической энергии. Безопасное обращение с некоторыми изолирующими устройствами возможно только для обученных специалистов; в таких случаях изолирующее устройство должно быть сделано недоступным для посторонних лиц. (См. рис. 1.)
Рисунок 1. Принцип действия электрических и пневматических изолирующих устройств
Главный переключатель
Устройство главного выключателя отключает техническую систему от энергоснабжения. В отличие от изолирующего устройства, с ним может безопасно эксплуатироваться даже «неэнергетический специалист». Устройство главного выключателя предназначено для отключения неиспользуемых в данный момент технических систем, например, в случае воспрепятствования их работе посторонними третьими лицами. Он также используется для отключения в таких целях, как техническое обслуживание, устранение неисправностей, очистка, сброс и переналадка, при условии, что такая работа может выполняться без энергии в системе. Естественно, когда устройство главного выключателя также обладает характеристиками разъединяющего устройства, оно также может взять на себя и/или разделить его функцию. (См. рис. 2.)
Рис. 2. Пример изображения электрических и пневматических устройств главного выключателя.
Устройство защитного отключения
Устройство защитного отключения не отключает всю техническую систему от источника энергии; скорее, он удаляет энергию из частей системы, критически важных для конкретной операционной подсистемы. Кратковременные вмешательства могут быть назначены для операционных подсистем, например, для настройки или сброса/переоснащения системы, для устранения неисправностей, для регулярной очистки, а также для основных и определенных движений и последовательностей функций, необходимых в течение курса. настройки, сброса/переоснащения или пробных запусков. Сложное производственное оборудование и установки нельзя просто отключить с помощью главного выключателя в этих случаях, так как вся техническая система не может снова запуститься с того места, где она остановилась после устранения неисправности. Кроме того, в более обширных технических системах устройство главного выключателя редко находится в том месте, где должно быть выполнено вмешательство. Таким образом, устройство защитного отключения должно соответствовать ряду требований, таких как:
Если устройство главного выключателя, используемое в данной технической системе, способно выполнить все требования, предъявляемые к устройству защитного отключения, оно также может взять на себя эту функцию. Но это, конечно, будет надежным средством только в очень простых технических системах. (См. рис. 3.)
Рисунок 3. Иллюстрация элементарных принципов устройства защитного отключения
Механизмы управления для операционных подсистем
Механизмы управления обеспечивают безопасное выполнение и управление движениями и функциональными последовательностями, необходимыми для операционных подсистем технической системы. Для наладки (при выполнении тестовых запусков) могут потребоваться устройства управления рабочими подсистемами; для регулирования (при устранении неполадок в работе системы или при устранении засоров); или учебных целях (демонстрация операций). В таких случаях нормальная работа системы не может быть просто перезапущена, так как вмешивающееся лицо будет подвергаться опасности из-за движений и процессов, запускаемых ошибочно введенными или ошибочно сгенерированными управляющими сигналами. Аппаратура управления оперативными подсистемами должна соответствовать следующим требованиям:
Рис. 4. Исполнительные устройства в механизмах управления подвижными и стационарными рабочими подсистемами
Аварийный выключатель
Аварийные выключатели необходимы там, где нормальная работа технических систем может привести к опасностям, которые не могут быть предотвращены ни соответствующей конструкцией системы, ни принятием соответствующих мер предосторожности. В операционных подсистемах аварийный выключатель часто является частью механизма управления оперативной подсистемой. При срабатывании в случае опасности аварийный выключатель реализует процессы, максимально быстро возвращающие техническую систему в безопасное рабочее состояние. Что касается приоритетов безопасности, то защита людей имеет первостепенное значение; предотвращение повреждения материала является второстепенным, если только последний не может также представлять опасность для людей. Аварийный выключатель должен соответствовать следующим требованиям:
Рисунок 5. Иллюстрация принципов работы панелей управления в аварийных выключателях
Устройство управления переключателем функций
Устройства управления переключателями функций служат для включения технической системы в нормальный режим работы, а также для инициирования, осуществления и прерывания движений и процессов, предназначенных для нормального режима работы. Устройство управления переключателем функций используется исключительно в процессе нормальной работы технической системы, т. е. при беспрепятственном выполнении всех назначенных функций. Он используется соответственно лицами, управляющими технической системой. Устройства управления переключателями функций должны соответствовать следующим требованиям:
Рисунок 6. Схематическое изображение панели управления операциями
Контрольные переключатели
Контрольные выключатели предотвращают запуск технической системы до тех пор, пока не выполняются контролируемые условия безопасности, и прерывают работу, как только условие безопасности больше не выполняется. Они используются, например, для контроля дверей в защитных отсеках, для проверки правильного положения защитных ограждений или для обеспечения того, чтобы ограничения скорости или пути не были превышены. Соответственно контрольные выключатели должны удовлетворять следующим требованиям безопасности и надежности:
Рис. 7. Схема выключателя с принудительным механическим срабатыванием и принудительным отключением
Цепи управления безопасностью
Некоторые из описанных выше предохранительных коммутационных устройств не выполняют функцию безопасности напрямую, а скорее посылают сигнал, который затем передается и обрабатывается схемой управления безопасностью и, наконец, достигает тех частей технической системы, которые выполняют реальную функцию безопасности. Устройство защитного отключения, например, часто косвенно вызывает отключение энергии в критических точках, тогда как главный выключатель обычно напрямую отключает подачу тока в техническую систему.
Поскольку цепи управления безопасностью должны надежно передавать сигналы безопасности, необходимо учитывать следующие принципы:
Компоненты, используемые в цепях управления безопасностью, должны выполнять функцию безопасности особенно надежно. Функции компонентов, не отвечающих этому требованию, должны быть реализованы путем организации как можно более диверсифицированного резервирования и должны находиться под наблюдением.
В последние несколько лет микропроцессоры играют все возрастающую роль в области техники безопасности. Поскольку целые компьютеры (т. е. центральный процессор, память и периферийные компоненты) теперь доступны в одном компоненте как «одночиповые компьютеры», микропроцессорная технология используется не только для управления сложными машинами, но и для защиты относительно простой конструкции. (например, световые решетки, устройства двуручного управления и защитные кромки). Программное обеспечение, управляющее этими системами, включает от одной тысячи до нескольких десятков тысяч одиночных команд и обычно состоит из нескольких сотен программных ветвей. Программы работают в режиме реального времени и в основном написаны на языке ассемблера программистов.
Внедрение автоматизированных систем в области техники безопасности сопровождалось во всех крупномасштабных технических средствах не только дорогостоящими НИОКР, но и существенными ограничениями, направленными на повышение безопасности. (Аэрокосмическая технология, военная технология и технология атомной энергии могут быть приведены здесь в качестве примеров крупномасштабного применения.) Коллективная область промышленного массового производства до сих пор рассматривалась лишь очень ограниченно. Отчасти это происходит по той причине, что быстрые циклы инноваций, характерные для проектирования промышленных машин, затрудняют передачу, за исключением очень ограниченного, знания, которое может быть получено в результате исследовательских проектов, связанных с окончательным тестированием крупномасштабных машин. устройства для обеспечения безопасности. Это делает разработку быстрых и недорогих процедур оценки необходимой (Reinert and Reuss, 1991).
В этой статье сначала рассматриваются машины и оборудование, в которых компьютерные системы в настоящее время выполняют задачи по обеспечению безопасности, на примерах несчастных случаев, происходящих преимущественно в области защиты машин, чтобы показать особую роль, которую компьютеры играют в технологиях безопасности. Эти несчастные случаи дают некоторое представление о том, какие меры предосторожности должны быть приняты, чтобы компьютеризированное оборудование для обеспечения безопасности, которое в настоящее время получает все более широкое распространение, не привело к увеличению числа несчастных случаев. В заключительном разделе статьи описывается процедура, которая позволит довести даже небольшие компьютерные системы до надлежащего уровня технической безопасности при оправданных затратах и в течение приемлемого периода времени. Принципы, указанные в этой заключительной части, в настоящее время внедряются в международные процедуры стандартизации и будут иметь значение для всех областей техники безопасности, в которых находят применение компьютеры.
Примеры использования программного обеспечения и компьютеров в области защиты машин
Следующие четыре примера показывают, что программное обеспечение и компьютеры в настоящее время все больше и больше входят в приложения, связанные с безопасностью, в коммерческой сфере.
Индивидуально-аварийные сигнальные установки состоят, как правило, из центрального приемного пункта и ряда индивидуальных аварийных сигнализаторов. Устройства несут лица, работающие на объекте самостоятельно. Если кто-либо из этих лиц, работающих в одиночку, окажется в аварийной ситуации, он может использовать устройство для срабатывания сигнализации по радиосигналу в центральном приемном пункте. Такой волевой пусковой механизм может быть дополнен механизмом произвольного срабатывания, приводимым в действие датчиками, встроенными в персональные аварийные устройства. Как отдельные устройства, так и центральная приемная станция часто управляются микрокомпьютерами. Вполне возможно, что отказ отдельных отдельных функций встроенного компьютера может привести в аварийной ситуации к несрабатыванию сигнализации. Поэтому необходимо принять меры предосторожности, чтобы вовремя заметить и устранить такую потерю функции.
Печатные станки, используемые сегодня для печати журналов, представляют собой большие машины. Бумажные полотна обычно подготавливаются на отдельной машине таким образом, чтобы обеспечить плавный переход на новый бумажный рулон. Отпечатанные страницы сгибаются на фальцевальной машине и затем проходят через цепочку других машин. В результате поддоны загружаются полностью сшитыми магазинами. Хотя такие установки автоматизированы, есть две точки, в которых необходимо выполнять ручное вмешательство: (1) при заправке трактов бумаги и (2) при устранении препятствий, вызванных разрывами бумаги в опасных местах на вращающихся роликах. По этой причине во время регулировки прессов технология управления должна обеспечивать пониженную скорость работы или режим толчкового перемещения с ограничением по траектории или времени. Из-за сложных процедур управления каждая отдельная станция печати должна быть оснащена собственным программируемым логическим контроллером. Любая неисправность, возникающая в системе управления типографией при открытых защитных решетках, должна не допускать, чтобы она приводила либо к неожиданному запуску остановленной машины, либо к работе с превышением допустимо сниженных скоростей.
На крупных фабриках и складах беспилотные автоматизированные роботизированные транспортные средства передвигаются по специально размеченным дорожкам. По этим путям в любое время могут пройти люди, или материалы и оборудование могут быть непреднамеренно оставлены на путях, поскольку они конструктивно не отделены от других путей движения. По этой причине необходимо использовать какое-либо оборудование для предотвращения столкновений, чтобы гарантировать, что транспортное средство будет остановлено до того, как произойдет опасное столкновение с человеком или объектом. В более поздних применениях предотвращение столкновений осуществляется с помощью ультразвуковых или лазерных сканеров, используемых в сочетании с защитным бампером. Поскольку эти системы работают под управлением компьютера, можно настроить несколько постоянных зон обнаружения, чтобы транспортное средство могло изменять свою реакцию в зависимости от конкретной зоны обнаружения, в которой находится человек. Неисправности защитного устройства не должны приводить к опасному столкновению с человеком.
Гильотины устройства контроля обрезки бумаги используются для прессования, а затем разрезания толстых стопок бумаги. Они запускаются двуручным устройством управления. Пользователь должен проникнуть в опасную зону станка после каждого разреза. Нематериальная защита, обычно легкая решетка, используется в сочетании с устройством управления двумя руками и безопасной системой управления машиной для предотвращения травм при подаче бумаги во время операции резки. Почти все более крупные и современные гильотины, используемые сегодня, управляются многоканальными микрокомпьютерными системами. Как управление двумя руками, так и световая сетка также должны гарантировать безопасное функционирование.
Аварии с компьютерными системами
Почти во всех областях промышленного применения сообщается об авариях с программным обеспечением и компьютерами (Neumann 1994). В большинстве случаев компьютерные сбои не приводят к травмам людей. Такие неудачи в любом случае предаются гласности только тогда, когда они представляют общественный интерес. Это означает, что случаи неисправности или несчастного случая, связанные с компьютерами и программным обеспечением, в результате которых пострадали люди, составляют относительно высокую долю всех получивших огласку случаев. К сожалению, аварии, которые не вызывают большой общественной сенсации, не расследуются в отношении их причин с такой же интенсивностью, как более серьезные аварии, как правило, на крупных предприятиях. По этой причине нижеследующие примеры относятся к четырем описаниям неисправностей или аварий, типичных для систем с компьютерным управлением, не относящихся к области защиты машин, которые используются для того, чтобы указать, что следует принимать во внимание при вынесении суждений, касающихся техники безопасности.
Аварии, вызванные случайными сбоями в оборудовании
Следующая авария была вызвана концентрацией случайных отказов в оборудовании в сочетании с программным сбоем: Реактор перегрелся на химическом заводе, после чего были открыты предохранительные клапаны, позволившие выпустить содержимое реактора в атмосферу. Эта авария произошла вскоре после того, как было дано предупреждение о том, что уровень масла в коробке передач слишком низкий. Тщательное расследование аварии показало, что вскоре после того, как катализатор инициировал реакцию в реакторе, вследствие чего реактору потребовалось бы дополнительное охлаждение, компьютер, на основании сообщения о низком уровне масла в коробке передач, заморозил все. величины, находящиеся под его контролем, на фиксированном уровне. Это удерживало поток холодной воды на слишком низком уровне, в результате чего реактор перегревался. Дальнейшее расследование показало, что индикация низкого уровня масла была вызвана неисправным компонентом.
Программное обеспечение отреагировало в соответствии со спецификацией срабатыванием аварийного сигнала и фиксацией всех рабочих переменных. Это было следствием исследования HAZOP (анализ опасностей и работоспособности) (Knowlton 1986), проведенного до события, которое требовало, чтобы все контролируемые переменные не изменялись в случае отказа. Поскольку программист не был подробно знаком с процедурой, это требование было истолковано как означающее, что управляемые исполнительные механизмы (в данном случае регулирующие клапаны) не должны были модифицироваться; не обращали внимания на возможность повышения температуры. Программист не учел, что после получения ошибочного сигнала система может оказаться в динамической ситуации типа требующей активного вмешательства компьютера для предотвращения аварии. Более того, ситуация, приведшая к несчастному случаю, была настолько маловероятной, что не была подробно проанализирована в исследовании HAZOP (Levenson 1986). Этот пример обеспечивает переход ко второй категории причин программно-компьютерных аварий. Это систематические сбои, которые есть в системе с самого начала, но которые проявляются только в определенных очень специфических ситуациях, которые разработчик не учел.
Несчастные случаи, вызванные сбоями в работе
В полевых испытаниях во время окончательной проверки роботов один техник позаимствовал кассету соседнего робота и заменил ее другой, не сообщив об этом своему коллеге. Вернувшись на свое рабочее место, коллега вставил не ту кассету. Так как он стоял рядом с роботом и ожидал от него определенной последовательности движений — последовательности, которая получалась иначе из-за обменной программы, — между роботом и человеком произошло столкновение. Эта авария описывает классический пример эксплуатационного отказа. Роль таких отказов в неисправностях и авариях в настоящее время возрастает в связи с усложнением применения управляемых компьютером механизмов безопасности.
Несчастные случаи, вызванные систематическими сбоями в оборудовании или программном обеспечении
Торпеда с боеголовкой должна была быть выпущена в учебных целях с боевого корабля в открытом море. Из-за дефекта приводного аппарата торпеда осталась в торпедном аппарате. Капитан решил вернуться в порт приписки, чтобы спасти торпеду. Вскоре после того, как корабль начал возвращаться домой, торпеда взорвалась. Анализ аварии показал, что разработчики торпеды были вынуждены встроить в торпеду механизм, предназначенный для предотвращения ее возвращения на стартовую площадку после выстрела и, таким образом, уничтожения запустившего ее корабля. Для этого был выбран следующий механизм: после выстрела торпеды с помощью инерциальной навигационной системы проверяли, не изменился ли ее курс на 180°. Как только торпеда почувствовала, что повернулась на 180°, она тут же взорвалась, предположительно на безопасном расстоянии от стартовой площадки. Этот механизм обнаружения срабатывал в случае неправильного пуска торпеды, в результате чего торпеда взорвалась после того, как корабль изменил курс на 180°. Это типичный пример аварии, произошедшей из-за несоблюдения спецификаций. Недостаточно точно сформулировано требование в ТУ о том, что торпеда не должна уничтожать собственный корабль при изменении курса; Таким образом, меры предосторожности были запрограммированы ошибочно. Ошибка проявилась только в конкретной ситуации, которую программист не учел как возможность.
14 сентября 1993 г. при посадке в Варшаве разбился самолет Airbus A 320 авиакомпании Lufthansa (рис. 1). Тщательное расследование авиакатастрофы показало, что за эту аварийную посадку частично ответственны изменения в логике посадки бортового компьютера, сделанные после аварии с самолетом Lauda Air Boeing 767 в 1991 году. Что произошло в аварии 1991 года, так это то, что отклонение тяги, которое отводит часть газов двигателя, чтобы затормозить самолет во время посадки, сработало еще в воздухе, что вынудило машину совершить неконтролируемое пикирование. По этой причине в машины Airbus была встроена электронная блокировка отклонения тяги. Этот механизм позволял вступать в силу отклонения тяги только после того, как датчики на обоих комплектах шасси подали сигнал о сжатии амортизаторов под давлением касания колес. На основании неверной информации пилоты самолета в Варшаве предвидели сильный боковой ветер.
Рис. 1. Lufthansa Airbus после аварии в Варшаве, 1993 г.
По этой причине они привезли машину с небольшим наклоном, и Airbus приземлился только правым колесом, оставив левый подшипник меньше, чем полный вес. Из-за электронной блокировки отклонения тяги бортовой компьютер в течение девяти секунд отказывал пилоту в таких маневрах, которые позволили бы самолету благополучно приземлиться, несмотря на неблагоприятные обстоятельства. Эта авария очень наглядно демонстрирует, что изменения в компьютерных системах могут привести к новым и опасным ситуациям, если заранее не учитывать диапазон их возможных последствий.
Следующий пример неисправности также демонстрирует катастрофические последствия, которые может иметь изменение одной единственной команды в компьютерных системах. Содержание алкоголя в крови определяют химическими тестами с использованием прозрачной сыворотки крови, из которой предварительно отцентрифугированы кровяные тельца. Таким образом, содержание алкоголя в сыворотке выше (в 1.2 раза), чем в более густой цельной крови. По этой причине значения алкоголя в сыворотке должны быть разделены на коэффициент 1.2, чтобы установить юридически и с медицинской точки зрения критические цифры в тысячных частях. В межлабораторном испытании, проведенном в 1984 г., значения содержания алкоголя в крови, установленные в идентичных испытаниях, проведенных в различных научно-исследовательских учреждениях с использованием сыворотки, должны были быть сопоставлены друг с другом. Поскольку речь шла только о сравнении, команда делить на 1.2 была, кроме того, стерта из программы в одном из учреждений на время эксперимента. После окончания межлабораторного испытания в этом месте ошибочно была введена в программу команда умножения на 1.2. В результате в период с августа 1,500 г. по март 1984 г. было рассчитано примерно 1985 неверных значений частей на тысячу. Эта ошибка была критической для профессиональной карьеры водителей-дальнобойщиков с уровнем алкоголя в крови от 1.0 до 1.3 промилле, поскольку юридическое наказание, влекущее за собой конфискацию водительских прав на длительный срок, является следствием значения 1.3 промилле.
Несчастные случаи, вызванные воздействием эксплуатационных нагрузок или стрессов окружающей среды
В результате помех, вызванных сбором отходов в рабочей зоне станка для вырубки и штамповки с ЧПУ (ЧПУ), пользователь ввел в действие «запрограммированную остановку». Когда он пытался удалить отходы руками, толкатель машины начал двигаться, несмотря на запрограммированную остановку, и серьезно ранил пользователя. Анализ аварии показал, что речь шла не об ошибке в программе. Неожиданный пуск воспроизвести не удалось. Подобные нарушения наблюдались и в прошлом на других машинах того же типа. Из них кажется правдоподобным сделать вывод, что авария должна была быть вызвана электромагнитными помехами. Подобные несчастные случаи с промышленными роботами зарегистрированы в Японии (Neumann 1987).
Неисправность космического корабля "Вояджер-2" 18 января 1986 года еще больше прояснила влияние стрессов окружающей среды на системы, управляемые компьютером. За шесть дней до максимального сближения с Ураном изображения с «Вояджера-2» покрывали большие поля черно-белых линий. Точный анализ показал, что один бит в командном слове подсистемы полетных данных вызвал сбой, наблюдаемый как изображения были сжаты в зонде. Этот бит, скорее всего, был выбит из памяти программы ударом космической частицы. Безошибочная передача сжатых фотографий с зонда была осуществлена только через два дня с использованием программы-замены, способной обойти неисправную точку памяти (Laeser, McLaughlin and Wolff, 1987).
Краткое изложение представленных аварий
Проанализированные несчастные случаи показывают, что некоторые риски, которыми можно было бы пренебречь в условиях использования простой электромеханической технологии, приобретают значение при использовании компьютеров. Компьютеры позволяют выполнять сложные и зависящие от ситуации функции безопасности. По этой причине особенно важной становится однозначная, безошибочная, полная и проверяемая спецификация всех функций безопасности. Ошибки в спецификациях трудно обнаружить, и они часто являются причиной аварий в сложных системах. Свободно программируемые элементы управления обычно вводятся с намерением гибко и быстро реагировать на изменения рынка. Однако модификации, особенно в сложных системах, имеют побочные эффекты, которые трудно предвидеть. Поэтому все модификации должны подвергаться строго формальной процедуре управления изменениями, в которой четкое отделение функций безопасности от частичных систем, не связанных с безопасностью, поможет легко отслеживать последствия модификаций для технологии безопасности.
Компьютеры работают с низким уровнем электричества. Поэтому они чувствительны к помехам от внешних источников излучения. Поскольку модификация одного-единственного сигнала среди миллионов может привести к неисправности, стоит уделить особое внимание теме электромагнитной совместимости применительно к компьютерам.
Обслуживание систем с компьютерным управлением в настоящее время становится все более сложным и, следовательно, все более неясным. Таким образом, эргономика программного обеспечения пользователя и программного обеспечения для настройки становится все более интересной с точки зрения техники безопасности.
Ни одна компьютерная система не может быть протестирована на 100%. Простой механизм управления с 32 бинарными входными портами и 1,000 различных программных путей требует 4.3 × 1012 тесты для полной проверки. При скорости выполнения и оценки 100 тестов в секунду полное тестирование заняло бы 1,362 года.
Процедуры и меры по совершенствованию компьютеризированных устройств безопасности
За последние 10 лет были разработаны процедуры, которые позволяют справиться с конкретными задачами, связанными с безопасностью, связанными с компьютерами. Эти процедуры относятся к сбоям компьютера, описанным в этом разделе. Описанные примеры программного обеспечения и компьютеров для обеспечения безопасности машин и проанализированные несчастные случаи показывают, что степень ущерба и, следовательно, также риск, связанный с различными приложениями, чрезвычайно различны. Поэтому ясно, что необходимые меры предосторожности для улучшения компьютеров и программного обеспечения, используемых в технике безопасности, должны быть установлены в отношении риска.
На рис. 2 показана качественная процедура, с помощью которой можно определить необходимое снижение риска, достигаемое с помощью систем безопасности, независимо от степени и частоты возникновения ущерба (Bell and Reinert 1992). Типы отказов в компьютерных системах, проанализированные в разделе «Аварии с компьютерными системами» (выше), могут быть соотнесены с так называемыми уровнями полноты безопасности, т. е. с техническими средствами снижения риска.
Рисунок 2. Качественная процедура определения риска
Рисунок 3 ясно показывает, что эффективность мер, принимаемых в любом конкретном случае для уменьшения ошибок в программном обеспечении и компьютерах, должна возрастать с увеличением риска (DIN 1994; IEC 1993).
Рисунок 3. Эффективность мер предосторожности против ошибок независимо от риска
Анализ приведенных выше аварий показывает, что отказ управляемых компьютером защит вызван не только случайными отказами компонентов, но и особыми условиями эксплуатации, которые не были учтены программистом. Не сразу очевидные последствия модификаций программы, сделанных в ходе обслуживания системы, представляют собой дополнительный источник ошибок. Отсюда следует, что в системах безопасности, управляемых микропроцессорами, возможны отказы, которые хотя и допущены при разработке системы, но могут привести к возникновению опасной ситуации только в процессе эксплуатации. Поэтому необходимо принимать меры предосторожности против таких отказов, пока системы, связанные с безопасностью, находятся на стадии разработки. Эти так называемые меры по предотвращению отказов должны приниматься не только на этапе разработки концепции, но и в процессе разработки, установки и модификации. Определенных отказов можно избежать, если они будут обнаружены и устранены в ходе этого процесса (DIN 1990).
Как ясно показывает последняя описанная авария, выход из строя одного транзистора может привести к техническому отказу очень сложного автоматизированного оборудования. Поскольку каждая отдельная схема состоит из многих тысяч транзисторов и других компонентов, должны быть приняты многочисленные меры по предотвращению отказов, чтобы распознать такие отказы, возникающие в процессе работы, и инициировать соответствующую реакцию в компьютерной системе. На рисунке 4 описаны типы отказов в программируемых электронных системах, а также примеры мер предосторожности, которые могут быть приняты для предотвращения и контроля отказов в компьютерных системах (DIN 1990; IEC 1992).
Рисунок 4. Примеры мер предосторожности, принимаемых для контроля и предотвращения ошибок в компьютерных системах
Возможности и перспективы программируемых электронных систем в технике безопасности
Современные машины и установки становятся все более сложными и должны решать все более сложные задачи за все более короткие промежутки времени. По этой причине компьютерные системы захватили почти все области промышленности с середины 1970-х годов. Одно только это увеличение сложности в значительной степени способствовало росту затрат, связанных с улучшением технологии безопасности в таких системах. Хотя программное обеспечение и компьютеры создают серьезную проблему для безопасности на рабочем месте, они также позволяют внедрять новые безошибочные системы в области техники безопасности.
Забавный, но поучительный стих Эрнста Яндла поможет объяснить, что подразумевается под понятием безошибочный. «Lichtung: Manche meinen lechts und rinks kann man nicht velwechsern, werch ein Illtum». («Направление: многие считают, что свет и свет нельзя поменять местами, что за эллол».) Несмотря на обмен письмами r и l, эта фраза легко понятна нормальному взрослому человеку. Даже человек с низким уровнем владения английским языком может перевести его на английский язык. Однако задача для переводящего компьютера практически невыполнима.
Этот пример показывает, что человек может реагировать гораздо более безошибочно, чем языковой компьютер. Это означает, что люди, как и все другие живые существа, могут терпеть неудачи, ссылаясь на них. Если посмотреть на машины, используемые сегодня, можно увидеть, что большинство машин наказывает пользователей за отказы не несчастным случаем, а снижением производительности. Это свойство приводит к манипулированию или обходу средств защиты. Современные компьютерные технологии предоставляют в распоряжение системы безопасности труда, которые могут реагировать интеллектуально, т. е. модифицированным образом. Таким образом, такие системы делают возможным безошибочный режим работы новых машин. Они в первую очередь предупреждают пользователей при неправильной работе и выключают машину только тогда, когда это единственный способ избежать аварии. Анализ несчастных случаев показывает, что в этой области существует значительный потенциал для снижения числа несчастных случаев (Reinert and Reuss, 1991).
Гибридная автоматизированная система (ГАС) призвана интегрировать возможности машин с искусственным интеллектом (на основе компьютерных технологий) с возможностями людей, взаимодействующих с этими машинами в процессе своей трудовой деятельности. Основные проблемы использования HAS связаны с тем, как должны быть спроектированы человеческие и машинные подсистемы, чтобы наилучшим образом использовать знания и навыки обеих частей гибридной системы, и как люди-операторы и компоненты машины должны взаимодействовать друг с другом. чтобы их функции дополняли друг друга. Многие гибридные автоматизированные системы развились как продукты применения современных методологий, основанных на информации и управлении, для автоматизации и интеграции различных функций часто сложных технологических систем. Первоначально HAS была идентифицирована с внедрением компьютерных систем, используемых при проектировании и эксплуатации систем управления в реальном времени для ядерных энергетических реакторов, для химических заводов и для технологии производства дискретных деталей. В настоящее время HAS также можно найти во многих сферах обслуживания, таких как управление воздушным движением и процедуры навигации самолетов в области гражданской авиации, а также при разработке и использовании интеллектуальных систем навигации для транспортных средств и шоссе в дорожном транспорте.
С продолжающимся прогрессом в компьютерной автоматизации характер человеческих задач в современных технологических системах меняется от задач, требующих перцептивно-моторных навыков, к задачам, требующим когнитивной деятельности, которые необходимы для решения проблем, принятия решений при мониторинге системы и для задачи диспетчерского контроля. Например, люди-операторы в компьютеризированных производственных системах в основном действуют как системные мониторы, решают проблемы и принимают решения. Когнитивная деятельность человека-руководителя в любой среде HAS заключается в (1) планировании того, что следует делать в течение заданного периода времени, (2) разработке процедур (или шагов) для достижения набора запланированных целей, (3) мониторинге прогресса. (технологических) процессов, (4) «обучение» системы через человеко-интерактивный компьютер, (5) вмешательство, если система ведет себя ненормально или если меняются приоритеты управления, и (6) обучение через обратную связь от системы о воздействии надзорные действия (Шеридан, 1987).
Гибридная система
Взаимодействие человека и машины в HAS включает использование динамических коммуникационных циклов между людьми-операторами и интеллектуальными машинами — процесс, который включает в себя получение и обработку информации, а также инициирование и выполнение задач управления и принятие решений — в рамках заданной структуры распределения функций между люди и машины. Как минимум, взаимодействие между людьми и автоматизацией должно отражать высокую сложность гибридных автоматизированных систем, а также соответствующие характеристики людей-операторов и требования к задачам. Таким образом, гибридная автоматизированная система формально может быть определена как пятерка в следующей формуле:
ЕСТЬ = (Т, У, С, Е, И)
в котором T = требования к задаче (физические и когнитивные); U = характеристики пользователя (физические и когнитивные); C = характеристики автоматизации (аппаратное и программное обеспечение, включая компьютерные интерфейсы); E = среда системы; I = набор взаимодействий между вышеуказанными элементами.
Набор взаимодействий I воплощает в себе все возможные взаимодействия между T, U и C in E независимо от их характера или силы связи. Например, одно из возможных взаимодействий может включать связь данных, хранящихся в памяти компьютера, с соответствующими знаниями, если таковые имеются, у человека-оператора. Взаимодействия I может быть элементарным (т. е. ограниченным взаимно-однозначной ассоциацией) или сложным, например, включать взаимодействие между человеком-оператором, конкретным программным обеспечением, используемым для выполнения желаемой задачи, и доступным физическим интерфейсом с компьютером.
Разработчики многих гибридных автоматизированных систем сосредотачиваются в первую очередь на автоматизированной интеграции сложных машин и другого оборудования как части компьютерной технологии, редко уделяя большое внимание первостепенной необходимости эффективной интеграции человека в такие системы. Поэтому в настоящее время многие компьютерно-интегрированные (технологические) системы не полностью совместимы с присущими человеку возможностями, выражающимися в навыках и знаниях, необходимых для эффективного управления и мониторинга этих систем. Такая несовместимость возникает на всех уровнях человеческого, машинного и человеко-машинного функционирования и может быть определена в рамках отдельного человека и всей организации или объекта. Например, проблемы интеграции людей и технологий на передовых производственных предприятиях возникают на ранней стадии проектирования HAS. Эти проблемы могут быть концептуализированы с использованием следующей модели системной интеграции сложности взаимодействий: I, между разработчиками системы, D, операторы, H, или потенциальные пользователи системы и технологии, T:
Я (Ч, Т) = Ф [ Я (Ч, Д), Я (Д, Т)]
в котором I обозначает соответствующие взаимодействия, происходящие в данной структуре HAS, в то время как F указывает на функциональные отношения между дизайнерами, людьми-операторами и технологиями.
Приведенная выше модель системной интеграции подчеркивает тот факт, что взаимодействие между пользователями и технологией определяется результатом интеграции двух предыдущих взаимодействий, а именно (1) взаимодействия между разработчиками HAS и потенциальными пользователями и (2) взаимодействия между разработчиками. и технология HAS (на уровне машин и их интеграции). Следует отметить, что, хотя между проектировщиками и технологиями обычно существует тесное взаимодействие, можно найти очень мало примеров столь же прочных взаимосвязей между проектировщиками и людьми-операторами.
Можно утверждать, что даже в самых автоматизированных системах роль человека остается решающей для успешной работы системы на операционном уровне. Bainbridge (1983) определил ряд проблем, связанных с работой HAS, которые связаны с природой самой автоматизации, а именно:
Распределение задач
Одним из важных вопросов при проектировании HAS является определение того, сколько и какие функции или обязанности должны быть возложены на людей-операторов, а какие и сколько — на компьютеры. Как правило, следует рассматривать три основных класса проблем распределения задач: (1) распределение задач между человеком и компьютером, (2) распределение задач между человеком и (3) распределение задач между управляющим компьютером и компьютером. В идеале решения о распределении должны приниматься с помощью некоторой структурированной процедуры распределения до того, как будет начато базовое проектирование системы. К сожалению, такой систематический процесс редко возможен, поскольку функции, которые должны быть распределены, могут либо нуждаться в дальнейшем изучении, либо должны выполняться в интерактивном режиме между человеческими и машинными компонентами системы, то есть посредством применения парадигмы диспетчерского управления. Распределение задач в гибридных автоматизированных системах должно быть сосредоточено на степени ответственности человека и компьютера и должно учитывать характер взаимодействия между человеком-оператором и компьютеризированными системами поддержки принятия решений. Следует также учитывать средства передачи информации между машинами и человеческими интерфейсами ввода-вывода и совместимость программного обеспечения с когнитивными способностями человека решать проблемы.
В традиционных подходах к проектированию и управлению гибридными автоматизированными системами работники рассматривались как детерминированные системы ввода-вывода, и существовала тенденция игнорировать телеологическую природу человеческого поведения, то есть целенаправленное поведение, основанное на приобретении соответствующую информацию и выбор целей (Гудштейн и др., 1988). Чтобы добиться успеха, проектирование и управление передовыми гибридными автоматизированными системами должно основываться на описании психических функций человека, необходимых для выполнения конкретной задачи. Подход «когнитивной инженерии» (более подробно описанный ниже) предполагает, что человеко-машинные (гибридные) системы должны быть задуманы, спроектированы, проанализированы и оценены с точки зрения человеческих мыслительных процессов (т.е. мысленная модель адаптивных систем оператора принимается во внимание). учетная запись). Ниже приведены требования ориентированного на человека подхода к проектированию и эксплуатации HAS, сформулированные Корбеттом (1988):
Когнитивная инженерия человеческого фактора
Когнитивная инженерия человеческого фактора фокусируется на том, как люди-операторы принимают решения на рабочем месте, решают проблемы, формулируют планы и осваивают новые навыки (Hollnagel and Woods, 1983). Роли людей-операторов, функционирующих в любой HAS, можно разделить по схеме Расмуссена (1983) на три основные категории:
При проектировании и управлении HAS следует учитывать когнитивные характеристики работников, чтобы обеспечить совместимость работы системы с внутренней моделью работника, описывающей его функции. Следовательно, уровень описания системы должен быть смещен с основанного на навыках на основанный на правилах и знаниях аспект функционирования человека, а для идентификации операторской модели системы должны использоваться соответствующие методы анализа когнитивных задач. Смежным вопросом при разработке HAS является проектирование средств передачи информации между человеком-оператором и компонентами автоматизированной системы как на физическом, так и на когнитивном уровнях. Такая передача информации должна быть совместима со способами передачи информации, используемыми на разных уровнях работы системы, т. е. визуальным, вербальным, тактильным или гибридным. Эта информационная совместимость гарантирует, что различные формы передачи информации потребуют минимальной несовместимости между средой и характером информации. Например, визуальный дисплей лучше всего подходит для передачи пространственной информации, тогда как слуховой ввод может использоваться для передачи текстовой информации.
Довольно часто человек-оператор разрабатывает внутреннюю модель, которая описывает работу и функции системы в соответствии с его или ее опытом, обучением и инструкциями в связи с данным типом человеко-машинного интерфейса. В свете этой реальности разработчики HAS должны попытаться встроить в машины (или другие искусственные системы) модель физических и когнитивных характеристик человека-оператора, то есть системный образ оператора (Hollnagel and Woods, 1983). . Разработчики HAS также должны учитывать уровень абстракции в описании системы, а также различные соответствующие категории поведения человека-оператора. Эти уровни абстракции для моделирования человеческого функционирования в рабочей среде следующие (Расмуссен, 1983): (1) физическая форма (анатомическая структура), (2) физические функции (физиологические функции), (3) обобщенные функции (психологические механизмы и когнитивные функции). и аффективные процессы), (4) абстрактные функции (обработка информации) и (5) функциональное назначение (ценностные структуры, мифы, религии, человеческие взаимодействия). Эти пять уровней должны учитываться разработчиками одновременно, чтобы обеспечить эффективную работу HAS.
Дизайн системного программного обеспечения
Поскольку компьютерное программное обеспечение является основным компонентом любой среды HAS, разработка программного обеспечения, включая проектирование, тестирование, эксплуатацию и модификацию, а также вопросы надежности программного обеспечения также должны учитываться на ранних стадиях разработки HAS. Таким образом, можно снизить стоимость обнаружения и устранения ошибок в программном обеспечении. Однако трудно оценить надежность человеческих компонентов HAS из-за ограничений нашей способности моделировать выполнение задач человеком, связанную с этим рабочую нагрузку и возможные ошибки. Чрезмерная или недостаточная умственная нагрузка может привести к информационной перегрузке и скуке, соответственно, и может привести к снижению работоспособности человека, что приведет к ошибкам и увеличению вероятности несчастных случаев. Разработчики HAS должны использовать адаптивные интерфейсы, использующие методы искусственного интеллекта, для решения этих проблем. В дополнение к совместимости человека и машины необходимо учитывать вопрос адаптации человека и машины друг к другу, чтобы снизить уровень стресса, который возникает, когда человеческие возможности могут быть превышены.
Из-за высокого уровня сложности многих гибридных автоматизированных систем выявление любых потенциальных опасностей, связанных с аппаратным обеспечением, программным обеспечением, операционными процедурами и взаимодействием человека и машины этих систем, становится критически важным для успеха усилий, направленных на снижение травматизма и повреждения оборудования. . Угрозы безопасности и здоровью, связанные со сложными гибридными автоматизированными системами, такими как компьютерно-интегрированные производственные технологии (CIM), безусловно, являются одним из наиболее важных аспектов проектирования и эксплуатации системы.
Проблемы безопасности системы
Гибридные автоматизированные среды с их значительным потенциалом неустойчивого поведения управляющего программного обеспечения в условиях системных возмущений создают риск аварий нового поколения. По мере того как гибридные автоматизированные системы становятся все более универсальными и сложными, системные помехи, в том числе проблемы с запуском и остановом, а также отклонения в управлении системой, могут значительно повысить вероятность серьезной опасности для людей-операторов. По иронии судьбы, во многих нештатных ситуациях операторы обычно полагаются на надлежащее функционирование автоматизированных подсистем безопасности, что может увеличить риск серьезных травм. Например, изучение аварий, связанных с неисправностями технических систем управления, показало, что около трети аварийных последовательностей включало вмешательство человека в контур управления нарушенной системы.
Поскольку традиционные меры безопасности не могут быть легко адаптированы к потребностям среды HAS, необходимо пересмотреть стратегии контроля травматизма и предотвращения несчастных случаев с учетом присущих этим системам характеристик. Например, в области передовых производственных технологий многие процессы характеризуются наличием значительных потоков энергии, которые не могут быть легко предвидены людьми-операторами. Более того, проблемы с безопасностью обычно возникают на интерфейсах между подсистемами или когда системные возмущения переходят от одной подсистемы к другой. Согласно Международной организации по стандартизации (ISO 1991), риски, связанные с опасностями, связанными с промышленной автоматизацией, различаются в зависимости от типов промышленных машин, включенных в конкретную производственную систему, и способов установки, программирования, эксплуатации и обслуживания системы. и отремонтировано. Например, сравнение несчастных случаев, связанных с роботами, в Швеции с другими типами несчастных случаев показало, что роботы могут быть наиболее опасными промышленными машинами, используемыми в передовой производственной промышленности. Расчетная частота несчастных случаев с промышленными роботами составляла одну серьезную аварию на 45 робото-лет, что выше, чем у промышленных прессов, которые, как сообщалось, составляли одну аварию на 50 машино-лет. Здесь следует отметить, что на промышленные прессы в Соединенных Штатах приходилось около 23% всех смертельных случаев, связанных с металлообрабатывающими станками, за период 1980–1985 гг., при этом механические прессы занимали первое место по соотношению тяжесть-частота несмертельных травм.
В области передовых производственных технологий существует множество движущихся частей, которые представляют опасность для рабочих, поскольку они сложным образом меняют свое положение вне поля зрения человека-оператора. Быстрое технологическое развитие компьютеризированного производства создало острую потребность в изучении влияния передовых производственных технологий на рабочих. Для выявления опасностей, вызванных различными компонентами такой среды ГАС, необходимо тщательно проанализировать прошлые аварии. К сожалению, несчастные случаи, связанные с использованием роботов, трудно отделить от сообщений о несчастных случаях, связанных с машинами, управляемыми людьми, и, следовательно, может быть высокий процент незарегистрированных несчастных случаев. Правила охраны труда и техники безопасности Японии гласят, что «промышленные роботы в настоящее время не имеют надежных средств безопасности, и рабочие не могут быть защищены от них, если их использование не регулируется». Например, результаты исследования, проведенного Министерством труда Японии (Sugimoto 1987) несчастных случаев, связанных с промышленными роботами на 190 обследованных фабриках (с 4,341 рабочим роботом), показали, что было 300 нарушений, связанных с роботами, из которых 37 случаев небезопасных действий привели к несчастным случаям, 9 несчастным случаям с травмами и 2 несчастным случаям со смертельным исходом. Результаты других исследований показывают, что компьютеризированная автоматизация не обязательно повышает общий уровень безопасности, поскольку аппаратное обеспечение системы не может быть обеспечено отказоустойчивостью только за счет функций безопасности в компьютерном программном обеспечении, а системные контроллеры не всегда отличаются высокой надежностью. Кроме того, в сложной HAS нельзя полагаться исключительно на датчики безопасности для обнаружения опасных условий и принятия соответствующих стратегий предотвращения опасностей.
Влияние автоматизации на здоровье человека
Как обсуждалось выше, действия рабочих во многих средах HAS в основном связаны с диспетчерским контролем, мониторингом, поддержкой и обслуживанием системы. Эти виды деятельности также можно разделить на четыре основные группы следующим образом: (1) задачи программирования, т. е. кодирование информации, которая направляет и управляет работой оборудования, (2) мониторинг компонентов производства и управления HAS, (3) техническое обслуживание компонентов HAS для предотвращения или устранять сбои в работе оборудования и (4) выполнять различные вспомогательные задачи и т. д. Многие недавние обзоры влияния HAS на самочувствие рабочих пришли к выводу, что, хотя использование HAS на производстве может устранить тяжелые и опасные задачи , работа в среде HAS может быть неудовлетворительной и напряженной для работников. Источники стресса включали постоянный мониторинг, необходимый во многих приложениях HAS, ограниченный объем выделенных действий, низкий уровень взаимодействия работников, разрешенный конструкцией системы, и угрозы безопасности, связанные с непредсказуемым и неконтролируемым характером оборудования. Несмотря на то, что некоторые работники, участвующие в программировании и техническом обслуживании, ощущают элементы трудностей, которые могут положительно сказаться на их самочувствии, эти последствия часто нивелируются сложным и требовательным характером этих действий, а также давлением. усилия руководства для скорейшего завершения этих мероприятий.
Хотя в некоторых средах HAS люди-операторы удалены от традиционных источников энергии (потока работы и движения машины) в нормальных условиях эксплуатации, многие задачи в автоматизированных системах по-прежнему необходимо выполнять в прямом контакте с другими источниками энергии. Поскольку количество различных компонентов HAS постоянно увеличивается, особое внимание должно уделяться комфорту и безопасности рабочих, а также разработке эффективных мер по контролю травматизма, особенно с учетом того факта, что рабочие больше не в состоянии идти в ногу с сложности и сложности таких систем.
Чтобы удовлетворить текущие потребности в области контроля травматизма и безопасности работников в компьютеризированных интегрированных производственных системах, Комитет ИСО по системам промышленной автоматизации предложил новый стандарт безопасности под названием «Безопасность интегрированных производственных систем» (1991 г.). Этот новый международный стандарт, разработанный с учетом особых опасностей, существующих в интегрированных производственных системах, включающих промышленные машины и сопутствующее оборудование, направлен на минимизацию возможности получения травм персоналом во время работы в интегрированной производственной системе или рядом с ней. Основные источники потенциальных опасностей для людей-операторов в CIM, определенные настоящим стандартом, показаны на рисунке 1.
Рисунок 1. Основной источник опасностей в автоматизированном производстве (CIM) (после ISO 1991)
Человеческие и системные ошибки
Как правило, опасности в HAS могут возникать из-за самой системы, из-за ее связи с другим оборудованием, присутствующим в физической среде, или из-за взаимодействия человеческого персонала с системой. Несчастный случай — это лишь один из нескольких результатов взаимодействия человека и машины, которые могут возникнуть в опасных условиях; несчастные случаи и повреждения случаются гораздо чаще (Zimolong and Duda, 1992). Возникновение ошибки может привести к одному из следующих последствий: (1) ошибка остается незамеченной, (2) система может компенсировать ошибку, (3) ошибка приводит к поломке машины и/или остановке системы или (4) ) ошибка приводит к аварии.
Поскольку не каждая человеческая ошибка, которая приводит к критическому происшествию, приводит к реальному происшествию, уместно проводить дальнейшее разграничение между категориями результатов следующим образом: (1) небезопасный инцидент (т. е. любое непреднамеренное происшествие, независимо от того, приводит ли оно к травме, повреждению или убыток), (2) несчастный случай (т. е. небезопасное событие, повлекшее за собой травмы, ущерб или убытки), (3) происшествие с ущербом (т. е. небезопасное событие, которое приводит только к некоторому материальному ущербу), (4) предаварийное происшествие или «промах» (т. е. небезопасное событие, при котором травмы, ущерб или потери удалось избежать с небольшим отрывом) и (5) наличие возможности аварийного происшествия (т. е. небезопасные события, которые могли привести к травмам, повреждению , либо убыток, но в силу обстоятельств не повлекший даже близкой аварии).
В HAS можно выделить три основных типа человеческих ошибок:
Эта таксономия, разработанная Ризоном (1990), основана на модификации классификации человеческой деятельности Расмуссена «навыки-правила-знания», как описано выше. На уровне навыков человеческая деятельность управляется сохраненными шаблонами заранее запрограммированных инструкций, представленных в виде аналоговых структур в пространственно-временной области. Уровень, основанный на правилах, применим для решения знакомых проблем, в которых решения регулируются сохраненными правилами (называемыми «продукциями», поскольку к ним обращаются или они создаются по мере необходимости). Эти правила требуют постановки определенных диагнозов (или суждений) или принятия определенных мер по исправлению положения, если возникли определенные условия, требующие соответствующего реагирования. На этом уровне человеческие ошибки обычно связаны с неправильной классификацией ситуаций, что приводит либо к применению неправильного правила, либо к неправильному воспроизведению последующих суждений или процедур. Ошибки, основанные на знаниях, возникают в новых ситуациях, для которых действия необходимо планировать «онлайн» (в данный момент), используя сознательные аналитические процессы и накопленные знания. Ошибки на этом уровне возникают из-за ограниченности ресурсов и неполных или неправильных знаний.
Общие системы моделирования ошибок (GEMS), предложенные Reason (1990), в которых делается попытка локализовать источники основных типов человеческих ошибок, могут быть использованы для получения общей таксономии человеческого поведения в HAS. GEMS стремится объединить две отдельные области исследования ошибок: (1) промахи и упущения, при которых действия отклоняются от текущего намерения из-за сбоев выполнения и/или сбоев хранения, и (2) ошибки, при которых действия могут выполняться в соответствии с планом, но план недостаточен для достижения желаемого результата.
Оценка и предотвращение рисков в CIM
Согласно ISO (1991 г.), оценка риска в CIM должна выполняться таким образом, чтобы свести к минимуму все риски и служить основой для определения целей и мер безопасности при разработке программ или планов как для создания безопасной рабочей среды, так и для обеспечения а также безопасность и здоровье персонала. Например, производственные опасности в производственной среде HAS можно охарактеризовать следующим образом: (1) человеку-оператору может потребоваться войти в опасную зону во время устранения неполадок, выполнения задач обслуживания и технического обслуживания, (2) опасную зону трудно определить, воспринимать и контролировать, (3) работа может быть монотонной и (4) несчастные случаи, происходящие в автоматизированных производственных системах, часто бывают серьезными. Каждая идентифицированная опасность должна быть оценена на предмет связанного с ней риска, и должны быть определены и реализованы соответствующие меры безопасности для минимизации этого риска. Опасности также должны быть установлены в отношении всех следующих аспектов любого данного процесса: самого отдельного устройства; взаимодействие между отдельными единицами; рабочие разделы системы; и работу всей системы во всех предусмотренных рабочих режимах и условиях, включая условия, при которых обычные средства защиты приостанавливаются для таких операций, как программирование, проверка, поиск и устранение неисправностей, техническое обслуживание или ремонт.
Этап разработки стратегии безопасности ISO (1991) для CIM включает:
Спецификация безопасности системы должна включать:
В соответствии с ISO (1991) все необходимые требования для обеспечения безопасной работы системы CIM необходимо учитывать при разработке процедур систематического планирования безопасности. Это включает в себя все защитные меры для эффективного снижения опасностей и требует:
Процедура планирования безопасности должна охватывать, среди прочего, следующие вопросы безопасности CIM:
Системный контроль помех
Во многих установках HAS, используемых в области производства с компьютерной интеграцией, операторы обычно необходимы для управления, программирования, технического обслуживания, предварительной настройки, обслуживания или устранения неполадок. Нарушения в системе приводят к ситуациям, требующим выхода рабочих в опасные зоны. В этом отношении можно предположить, что помехи остаются наиболее важной причиной вмешательства человека в CIM, поскольку системы чаще всего будут программироваться из-за пределов ограниченных зон. Одним из наиболее важных вопросов безопасности CIM является предотвращение помех, поскольку большинство рисков возникает на этапе устранения неполадок в системе. Предотвращение помех является общей целью как с точки зрения безопасности, так и экономической эффективности.
Возмущение в системе CIM — это состояние или функция системы, которая отклоняется от запланированного или желаемого состояния. Помимо производительности, помехи при работе CIM напрямую влияют на безопасность людей, участвующих в эксплуатации системы. Исследование, проведенное в Финляндии (Kuivanen, 1990), показало, что около половины сбоев в автоматизированном производстве снижают безопасность рабочих. Основными причинами нарушений были ошибки в конструкции системы (34%), отказы компонентов системы (31%), человеческий фактор (20%) и внешние факторы (15%). Большинство отказов машин было вызвано системой управления, а в системе управления большинство отказов произошло в датчиках. Эффективным способом повышения уровня безопасности установок CIM является уменьшение количества помех. Хотя действия человека в возмущенных системах предотвращают возникновение аварий в среде ГАС, они также способствуют им. Например, изучение аварий, связанных с неисправностями технических систем управления, показало, что около трети аварийных последовательностей включало вмешательство человека в контур управления нарушенной системы.
Основные вопросы исследования предотвращения нарушений CIM касаются (1) основных причин нарушений, (2) ненадежных компонентов и функций, (3) влияния нарушений на безопасность, (4) воздействия нарушений на функцию системы, ( 5) материальный ущерб и (6) ремонт. Безопасность HAS следует планировать на ранней стадии проектирования системы с должным учетом технологий, людей и организации, и она должна быть неотъемлемой частью общего процесса технического планирования HAS.
HAS Design: Будущие вызовы
Чтобы обеспечить максимальную отдачу от гибридных автоматизированных систем, как обсуждалось выше, необходимо гораздо более широкое видение развития системы, основанное на интеграции людей, организаций и технологий. Здесь следует применять три основных типа системной интеграции:
Минимальные требования к проектированию гибридных автоматизированных систем должны включать следующее: (1) гибкость, (2) динамическая адаптация, (3) повышенная скорость реагирования и (4) необходимость мотивировать людей и лучше использовать их навыки, суждения и опыт. . Вышеизложенное также требует, чтобы организационные структуры, методы работы и технологии HAS были разработаны, чтобы люди на всех уровнях системы могли адаптировать свои рабочие стратегии к разнообразным ситуациям управления системами. Следовательно, организации, методы работы и технологии HAS должны быть спроектированы и разработаны как открытые системы (Kidd 1994).
Открытая гибридная автоматизированная система (OHAS) — это система, которая получает входные данные и отправляет выходные данные в свою среду. Идею открытой системы можно применять не только к системным архитектурам и организационным структурам, но и к методам работы, интерфейсам человек-компьютер и отношениям между людьми и технологиями: можно упомянуть, например, системы планирования, системы управления и системы поддержки принятия решений. Открытая система также является адаптивной, когда она предоставляет людям большую степень свободы в определении режима работы системы. Например, в области передового производства требования открытой гибридной автоматизированной системы могут быть реализованы с помощью концепции человеко-компьютерное производство (ХИМ). С этой точки зрения, разработка технологии должна учитывать общую архитектуру системы HCIM, включая следующее: (1) рассмотрение сети групп, (2) структуру каждой группы, (3) взаимодействие между группами, (4) характер вспомогательного программного обеспечения и (5) потребности в технической связи и интеграции между вспомогательными программными модулями.
Адаптивная гибридная автоматизированная система, в отличие от закрытой системы, не ограничивает возможности человека-оператора. Роль разработчика HAS состоит в том, чтобы создать систему, которая удовлетворит личные предпочтения пользователя и позволит пользователям работать так, как они считают наиболее подходящим. Необходимым условием для разрешения ввода данных пользователем является разработка методологии адаптивного проектирования, то есть OHAS, которая позволяет использовать компьютерную технологию для ее реализации в процессе проектирования. Необходимость разработки методологии адаптивного проектирования является одним из неотложных требований для практической реализации концепции OHAS. Также необходимо разработать новый уровень адаптивной технологии диспетчерского управления человеком. Такая технология должна позволять человеку-оператору «видеть сквозь» невидимую иначе систему управления функционированием ГАС, например, путем применения интерактивной высокоскоростной видеосистемы в каждой точке управления и работы системы. Наконец, очень необходима методология разработки интеллектуальной и высокоадаптивной компьютерной поддержки человеческих ролей и функционирования человека в гибридных автоматизированных системах.
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: МОТ не несет ответственности за контент, представленный на этом веб-портале, который представлен на каком-либо языке, кроме английского, который является языком, используемым для первоначального производства и рецензирования оригинального контента. Некоторые статистические данные не обновлялись с тех пор. выпуск 4-го издания Энциклопедии (1998 г.)».