Общие разработки в области микроэлектроники и технологии датчиков дают основания надеяться, что повышение безопасности труда может быть достигнуто за счет наличия надежных, выносливых, неприхотливых и недорогих датчиков присутствия и приближения. В этой статье будут описаны сенсорные технологии, различные процедуры обнаружения, условия и ограничения, применимые к использованию сенсорных систем, а также некоторые завершенные исследования и работы по стандартизации в Германии.

Критерии детектора присутствия

Разработка и практическое испытание датчиков присутствия является одним из самых серьезных будущих вызовов для технических усилий по повышению безопасности труда и защиты персонала в целом. Датчики присутствия датчики, которые надежно и достоверно сигнализируют о вблизи присутствия или приближения человека. Кроме того, это предупреждение должно поступать быстро, чтобы уклонение, торможение или отключение неподвижной машины могли произойти до того, как произойдет предполагаемый контакт. Независимо от того, большие люди или маленькие, какова их поза или как они одеты, это не должно влиять на надежность датчика. Кроме того, датчик должен обладать надежностью функционирования, быть прочным и недорогим, чтобы его можно было использовать в самых сложных условиях, например, на строительных площадках и в мобильных приложениях, с минимальным обслуживанием. Датчики должны быть как подушка безопасности в том смысле, что они не требуют обслуживания и всегда готовы к работе. Учитывая нежелание некоторых пользователей обслуживать то, что они считают второстепенным оборудованием, датчики могут не обслуживаться годами. Еще одна особенность датчиков присутствия, которая, скорее всего, будет востребована, заключается в том, что они также обнаруживают препятствия, не являющиеся людьми, и вовремя предупреждают оператора о принятии защитных мер, что снижает затраты на ремонт и материальный ущерб. Это причина установки датчиков присутствия, которую нельзя недооценивать.

Приложения для детекторов

Бесчисленных несчастных случаев со смертельным исходом и серьезных травм, которые кажутся неизбежными, отдельными случайностями, можно избежать или свести к минимуму, если датчики присутствия станут более приемлемыми в качестве превентивной меры в области безопасности труда. Газеты слишком часто сообщают об этих авариях: здесь человек был сбит задним ходом погрузчика, там оператор не видел кого-то, кого задавило передним колесом экскаватора. Грузовики, движущиеся задним ходом по улицам, предприятиям и строительным площадкам, являются причиной многих несчастных случаев с людьми. Сегодняшние полностью рационализированные компании больше не предоставляют штурманов или других лиц, которые могли бы выступать в качестве проводников для водителя, который едет задним ходом. Эти примеры дорожно-транспортных происшествий можно легко распространить на другое мобильное оборудование, такое как вилочные погрузчики. Однако использование датчиков крайне необходимо для предотвращения аварий с участием полумобильного и чисто стационарного оборудования. Примером могут служить задние области больших погрузочных машин, которые были идентифицированы службой безопасности как потенциально опасные зоны, которые можно улучшить за счет использования недорогих датчиков. Многие варианты датчиков присутствия могут быть инновационно адаптированы к другим транспортным средствам и крупному мобильному оборудованию для защиты от типов аварий, обсуждаемых в этой статье, которые обычно приводят к значительным повреждениям и серьезным, если не смертельным, травмам.

Тенденция к более широкому распространению инновационных решений, по-видимому, обещает, что датчики присутствия станут стандартной технологией безопасности в других приложениях; однако нигде этого нет. Прорыв, мотивированный авариями и большим материальным ущербом, ожидается в мониторинге за фургонами и большегрузными автомобилями, а также в самых инновационных областях «новых технологий» — мобильных роботах будущего.

Разнообразие областей применения датчиков присутствия и изменчивость задач — например, допуск объектов (даже движущихся объектов при определенных условиях), которые принадлежат к области обнаружения и которые не должны вызывать срабатывание сигнала, — требуют датчиков, в которых « «интеллектуальная» технология оценки поддерживает механизмы сенсорной функции. Эта технология, которая является предметом будущего развития, может быть разработана на основе методов, основанных на области искусственного интеллекта (Шрайбер и Кун, 1995). На сегодняшний день ограниченная универсальность серьезно ограничивает текущее использование датчиков. Есть легкие шторы; световые полосы; контактные коврики; пассивные инфракрасные датчики; ультразвуковые и радарные датчики движения, использующие эффект Доплера; датчики, производящие измерения за истекшее время ультразвуковых, радиолокационных и световых импульсов; и лазерные сканеры. Обычные телевизионные камеры, подключенные к мониторам, в этот список не включены, поскольку они не являются датчиками присутствия. Однако включены те камеры, которые активируются автоматически при обнаружении присутствия человека.

Сенсорная техника

Сегодня основными задачами датчиков являются (1) оптимизация использования физических эффектов (инфракрасного, светового, ультразвукового, радиолокационного и т. д.) и (2) самоконтроль. Лазерные сканеры интенсивно разрабатываются для использования в качестве навигационных инструментов для мобильных роботов. Для этого должны быть решены две задачи, частично разные в принципе: навигация робота и защита присутствующих людей (и материалов или оборудования), чтобы их нельзя было ударить, наехать или схватить (Freund, Dierks and Rossman 1993). ). Будущие мобильные роботы не смогут сохранить ту же философию безопасности «пространственного разделения робота и человека», которая строго применяется к сегодняшним стационарным промышленным роботам. Это означает, что необходимо уделять большое внимание надежному функционированию используемого датчика присутствия.

Использование «новой технологии» часто связано с проблемами принятия, и можно предположить, что повсеместное использование мобильных роботов, которые могут перемещаться и захватывать людей на растениях, в местах общественного транспорта или даже в домах или зонах отдыха , будут приняты только в том случае, если они оснащены очень совершенными, сложными и надежными датчиками присутствия. Эффектных происшествий следует избегать любой ценой, чтобы не усугубить возможную проблему приемки. Текущий уровень затрат на разработку этого типа датчиков охраны труда и близко не подходит для учета этого соображения. Чтобы сэкономить много средств, датчики присутствия следует разрабатывать и тестировать одновременно с мобильными роботами и навигационными системами, а не после.

Применительно к автотранспортным средствам вопросы безопасности приобретают все большее значение. Инновационная безопасность пассажиров в автомобилях включает в себя трехточечные ремни безопасности, детские кресла, подушки безопасности и антиблокировочную тормозную систему, подтвержденную серийными краш-тестами. Эти меры безопасности составляют относительно растущую часть производственных затрат. Боковая подушка безопасности и системы радарных датчиков для измерения расстояния до впереди идущего автомобиля являются эволюционными разработками в области защиты пассажиров.

Повышенное внимание уделяется внешней безопасности автотранспортных средств, то есть защите третьих лиц. В последнее время требуется боковая защита, в первую очередь для грузовых автомобилей, чтобы исключить опасность попадания под задние колеса мотоциклистов, велосипедистов и пешеходов. Следующим логическим шагом будет мониторинг зоны позади больших транспортных средств с помощью датчиков присутствия и установка предупреждающего оборудования сзади. Положительным побочным эффектом этого будет обеспечение финансирования, необходимого для разработки, тестирования и предоставления максимально эффективных, самоконтролирующихся, не требующих обслуживания и надежно функционирующих недорогих датчиков для целей безопасности труда. Процесс испытаний, который будет сопровождаться широким внедрением датчиков или сенсорных систем, значительно облегчит инновации в других областях, таких как экскаваторы, тяжелые погрузчики и другие большие мобильные машины, которые в течение половины времени работают в резервном режиме. Эволюционный процесс от стационарных роботов к мобильным роботам является дополнительным путем развития датчиков присутствия. Например, можно было бы усовершенствовать датчики, которые в настоящее время используются в мобильных роботах-манипуляторах или «автономных фабричных тракторах», которые следуют по фиксированным траекториям и, следовательно, предъявляют относительно низкие требования к безопасности. Использование датчиков присутствия является следующим логическим шагом в повышении безопасности грузовых и пассажирских перевозок.

Процедуры обнаружения

Для оценки и решения вышеуказанных задач могут быть использованы различные физические принципы, доступные в связи с электронными методами измерения и самоконтроля и, в некоторой степени, высокопроизводительными вычислительными процедурами. Очевидно легкая и надежная работа автоматических машин (роботов), столь часто встречающаяся в научно-фантастических фильмах, возможно, будет реализована в реальном мире за счет использования методов визуализации и высокопроизводительных алгоритмов распознавания образов в сочетании с методами измерения расстояний, аналогичными тем используются лазерные сканеры. Необходимо признать парадоксальность ситуации, когда все, что кажется простым людям, для автоматов сложно. Например, такую ​​сложную задачу, как превосходная игра в шахматы (которая требует активности переднего мозга), легче смоделировать и выполнить с помощью автоматических машин, чем такую ​​простую задачу, как прямохождение или выполнение зрительно-моторной координации и другой координации движений (опосредованной средний и задний мозг). Некоторые из этих принципов, методов и процедур, применимых к датчикам, описаны ниже. В дополнение к ним существует большое количество специальных процедур для очень специальных задач, которые частично работают с комбинацией различных типов физических воздействий.

Светозащитные шторы и штанги. Среди первых датчиков присутствия были светозащитные шторы и решетки. У них плоская геометрия мониторинга; то есть тот, кто прошел барьер, больше не будет обнаружен. Рука оператора или наличие инструментов или деталей, которые держит оператор, например, могут быть быстро и надежно обнаружены с помощью этих устройств. Они вносят важный вклад в безопасность труда для машин (таких как прессы и штамповочные машины), которые требуют ручной загрузки материала. Статистическая надежность должна быть чрезвычайно высокой, потому что, когда рука достигает всего два-три раза в минуту, всего за несколько лет выполняется около миллиона операций. Взаимный самоконтроль компонентов отправителя и получателя был разработан на таком очень высоком техническом уровне, что представляет собой стандарт для всех других процедур обнаружения присутствия.

Контактные коврики (маты переключателей). Существуют как пассивные, так и активные (насосные) типы электрических и пневматических контактных матов и полов, которые изначально массово использовались в сервисных функциях (открыватели дверей), пока их не вытеснили датчики движения. Дальнейшее развитие происходит с использованием датчиков присутствия во всевозможных опасных зонах. Например, развитие автоматизированного производства с изменением функции рабочего — от управления машиной к строгому контролю за ее работой — вызвало соответствующий спрос на соответствующие детекторы. Стандартизация этого использования хорошо развита (DIN 1995a), а специальные ограничения (расположение, размер, максимально допустимые «мертвые» зоны) потребовали развития опыта для установки в этой области использования.

Интересные возможности использования контактных ковриков возникают в сочетании с несколькими роботизированными системами, управляемыми компьютером. Оператор переключает один или два элемента, чтобы датчик присутствия улавливал его точное положение и сообщал об этом компьютеру, который управляет системами управления роботами со встроенной системой предотвращения столкновений. В одном испытании, проведенном Немецким федеральным институтом безопасности (BAU), для этой цели под рабочей зоной робота-манипулятора был уложен контактный коврик, состоящий из небольших ковриков с электрическими переключателями (Freund, Dierks and Rossman, 1993). Этот датчик присутствия имел форму шахматной доски. Соответствующее активированное поле мата сообщало компьютеру положение оператора (рис. 1), и когда оператор подходил слишком близко к роботу, он удалялся. Без датчика присутствия роботизированная система не смогла бы определить положение оператора, и тогда оператор не мог бы быть защищен.

Рисунок 1. Человек (справа) и два робота в вычисляемых телах-обертках

Отражатели (датчики движения и датчики присутствия). Какими бы достойными ни были датчики, обсуждавшиеся до сих пор, они не являются датчиками присутствия в более широком смысле. Их пригодность — в первую очередь из соображений безопасности труда — для крупногабаритных транспортных средств и крупногабаритного мобильного оборудования предполагает две важные характеристики: (1) возможность наблюдения за территорией с одного места и (2) безошибочное функционирование без необходимости принятия дополнительных мер по часть — например, использование отражательных устройств. Обнаружение присутствия человека, входящего в контролируемую зону и остающегося остановленным до тех пор, пока этот человек не уйдет, также подразумевает необходимость обнаружения человека, стоящего абсолютно неподвижно. Это отличает так называемые датчики движения от датчиков присутствия, по крайней мере, в связи с мобильным оборудованием; Датчики движения почти всегда срабатывают, когда транспортное средство приводится в движение.

Датчики движения. Двумя основными типами датчиков движения являются: (1) «пассивные инфракрасные датчики» (PIRS), которые реагируют на наименьшее изменение инфракрасного луча в контролируемой области (наименьший обнаруживаемый луч составляет примерно 10^-9 W с диапазоном длин волн примерно от 7 до 20 мкм); и (2) ультразвуковые и микроволновые датчики, использующие принцип Доплера, который определяет характеристики движения объекта по изменению частоты. Например, эффект Доплера увеличивает для наблюдателя частоту гудка локомотива, когда он приближается, и уменьшает частоту, когда локомотив удаляется. Эффект Доплера делает возможным создание относительно простых датчиков сближения, поскольку приемнику нужно только контролировать частоту сигнала соседних частотных диапазонов для появления доплеровской частоты.

В середине 1970-х годов использование детекторов движения стало преобладать в сервисных приложениях, таких как открывание дверей, защита от кражи и защита объектов. При стационарном использовании обнаружения приближающегося человека к опасному участку было достаточно для своевременного предупреждения или выключения машины. Это послужило основой для изучения пригодности детекторов движения для их использования в целях безопасности труда, особенно с помощью PIRS (Mester et al., 1980). Поскольку одетый человек обычно имеет более высокую температуру, чем окружающая среда (голова 34°C, руки 31°C), обнаружить приближающегося человека несколько легче, чем обнаружить неодушевленные предметы. В ограниченной степени части машины могут перемещаться в контролируемой зоне без срабатывания детектора.

Пассивный метод (без передатчика) имеет свои преимущества и недостатки. Преимущество состоит в том, что PIRS не создает проблем с шумом и электрическим смогом. Для защиты от кражи и защиты объектов особенно важно, чтобы детектор было нелегко найти. Однако датчик, который является только приемником, вряд ли может контролировать свою собственную эффективность, что очень важно для безопасности труда. Одним из способов преодоления этого недостатка было тестирование небольших модулированных (от 5 до 20 Гц) инфракрасных излучателей, которые устанавливались в контролируемой зоне и не вызывали срабатывания датчика, но чьи лучи регистрировались с фиксированным электронным усилением, настроенным на частоту модуляции. Эта модификация превратила его из «пассивного» датчика в «активный». Таким образом также можно было проверить геометрическую точность контролируемой области. Зеркала могут иметь слепые зоны, а направление пассивного датчика может быть сбито из-за грубой работы растения. На рис. 2 показан тестовый макет с ПИРС с контролируемой геометрией в виде мантии пирамиды. Благодаря большому радиусу действия пассивные инфракрасные датчики устанавливаются, например, в проходах стеллажей.

Рис. 2. Пассивный инфракрасный датчик как детектор приближения в опасной зоне

В целом испытания показали, что датчики движения не подходят для обеспечения безопасности труда. Пол ночного музея нельзя сравнивать с опасными зонами на рабочем месте.

Ультразвуковые, радиолокационные и светоимпульсные детекторы. Датчики, использующие принцип импульса/эха, т. е. измеряющие прошедшее время ультразвуковых, радарных или световых импульсов, имеют большой потенциал в качестве датчиков присутствия. С помощью лазерных сканеров световые импульсы могут проходить в быстрой последовательности (обычно вращательно), например, по горизонтали, а с помощью компьютера можно получить дальний профиль объектов на плоскости, отражающих свет. Если, например, требуется не только одна линия, но и все то, что находится перед мобильным роботом на высоте до 2 метров, то для изображения окружающего пространства необходимо обрабатывать большое количество данных. Будущий «идеальный» датчик присутствия будет состоять из комбинации следующих двух процессов:

1. Будет использоваться процесс распознавания образов, состоящий из камеры и компьютера. Последняя также может быть «нейронной сетью».
2. Кроме того, для измерения расстояний требуется процесс лазерного сканирования; это берет пеленг в трехмерном пространстве по ряду отдельных точек, выбранных в процессе распознавания образов, установленном для получения расстояния и движения по скорости и направлению.

На Рисунке 3 показано, из ранее упомянутого проекта BAU (Freund, Dierks and Rossman 1993), использование лазерного сканера на мобильном роботе, который также выполняет навигационные задачи (с помощью луча, определяющего направление) и защиту от столкновений с объектами в непосредственной близости. близость (через наземный измерительный луч для обнаружения присутствия). Учитывая эти особенности, мобильный робот имеет возможность активное автоматизированное свободное вождение (т.е. возможность объезжать препятствия). Технически это достигается за счет использования угла поворота сканера в 45° назад с обеих сторон (влево и вправо от робота) в дополнение к углу 180° вперед. Эти лучи связаны со специальным зеркалом, которое действует как световая завеса на полу перед мобильным роботом (обеспечивая линию обзора с земли). Если оттуда исходит лазерное отражение, робот останавливается. В то время как лазерные и световые сканеры, сертифицированные для использования в области безопасности труда, уже представлены на рынке, эти датчики присутствия имеют большой потенциал для дальнейшего развития.

Рис. 3. Мобильный робот с лазерным сканером для навигации и обнаружения присутствия

Ультразвуковые и радарные датчики, которые используют время от сигнала до отклика для определения расстояния, менее требовательны с технической точки зрения и, следовательно, могут производиться дешевле. Сенсорная область имеет булавовидную форму и имеет одну или несколько боковых бугорков меньшего размера, которые расположены симметрично. Скорость распространения сигнала (звук: 330 м/с; электромагнитная волна: 300,000 XNUMX км/с) определяет необходимую скорость используемой электроники.

Предупреждающие устройства задней зоны. На выставке в Ганновере в 1985 году BAU представила результаты первоначального проекта по использованию ультразвуковых датчиков для защиты территории позади больших транспортных средств (Langer and Kurfürst, 1985). Полноразмерная модель сенсорной головки, изготовленная из сенсоров Polaroid™, была установлена ​​на задней стенке грузового автомобиля. На рис. 4 схематично показано его функционирование. Большой диаметр этого датчика создает относительно малоугловые (приблизительно 18°), дальнодействующие булавовидные измеряемые области, расположенные рядом друг с другом и настроенные на разные максимальные диапазоны сигнала. На практике это позволяет задать любую желаемую контролируемую геометрию, которая сканируется датчиками примерно четыре раза в секунду на присутствие или вход людей. Другие продемонстрированные системы предупреждения о тыле имели несколько параллельных отдельных датчиков.

Рисунок 4. Расположение измерительной головки и контролируемой области на задней стороне грузовика

Эта яркая демонстрация имела большой успех на выставке. Он показал, что обеспечение безопасности тыла крупных транспортных средств и оборудования изучается во многих местах, например, специализированными комитетами отраслевых торговых ассоциаций. (Berufsgenossenschaften), муниципальные страховщики от несчастных случаев (которые отвечают за муниципальный транспорт), чиновники государственного отраслевого надзора и производители датчиков, которые больше думали об автомобилях как о служебных транспортных средствах (в смысле сосредоточения внимания на парковочных системах для защиты от повреждения кузова). Спонтанно был сформирован специальный комитет, составленный из групп по продвижению устройств оповещения в тылу, и в качестве первой задачи он взял на себя подготовку списка требований с точки зрения безопасности труда. Прошло десять лет, за это время многое было проработано в области контроля тыла — возможно, самой важной задачи датчиков присутствия; но большой прорыв все еще отсутствует.

Было проведено множество проектов с ультразвуковыми датчиками, например, на кранах для сортировки круглого леса, гидравлических экскаваторах, специальных коммунальных транспортных средствах и других коммунальных транспортных средствах, а также на вилочных погрузчиках и погрузчиках (Schreiber, 1990). Предупреждающие устройства в задней части особенно важны для крупной техники, которая большую часть времени движется задним ходом. Ультразвуковые датчики присутствия используются, например, для защиты специализированных беспилотных транспортных средств, таких как роботизированные погрузочно-разгрузочные машины. По сравнению с резиновыми бамперами эти датчики имеют большую зону обнаружения, что обеспечивает торможение до того, как машина соприкоснется с объектом. Соответствующие датчики для автомобилей являются соответствующими разработками и предъявляют значительно менее жесткие требования.

Тем временем Комитет по техническим стандартам транспортных систем DIN разработал стандарт 75031 «Устройства обнаружения препятствий при движении задним ходом» (DIN 1995b). Требования и испытания были установлены для двух диапазонов: 1.8 м для грузовиков снабжения и 3.0 м — дополнительная зона предупреждения — для более крупных грузовиков. Контролируемая область устанавливается посредством распознавания цилиндрических пробных тел. Диапазон 3 м также является пределом того, что в настоящее время технически возможно, поскольку ультразвуковые датчики должны иметь закрытые металлические мембраны, учитывая их тяжелые условия работы. Устанавливаются требования к самоконтролю сенсорной системы, так как требуемая контролируемая геометрия может быть достигнута только системой из трех и более сенсоров. На рис. 5 показано устройство оповещения сзади, состоящее из трех ультразвуковых датчиков (Microsonic GmbH, 1996). То же самое относится к устройству оповещения в кабине водителя и типу предупредительного сигнала. Содержание стандарта DIN 75031 также изложено в международном техническом отчете ISO TR 12155 «Коммерческие автомобили — Устройство обнаружения препятствий при движении задним ходом» (ISO 1994). Различные производители датчиков разработали прототипы в соответствии с этим стандартом.

Рис. 5. Грузовик среднего размера, оборудованный сигнальным устройством сзади (фото Microsonic).

Заключение

С начала 1970-х годов несколько организаций и производителей датчиков работали над разработкой и внедрением «детекторов присутствия». В специальном приложении «задние сигнальные устройства» есть стандарт DIN 75031 и отчет ISO TR 12155. В настоящее время Deutsche Post AG проводит серьезные испытания. Несколько производителей датчиков оснастили такими устройствами пять грузовиков среднего размера. Положительный результат этого теста во многом отвечает интересам охраны труда. Как было подчеркнуто в самом начале, датчики присутствия в необходимом количестве представляют собой серьезную проблему для техники безопасности во многих упомянутых областях применения. Поэтому они должны быть реализованы с низкими затратами, если ущерб оборудованию, машинам и материалам и, прежде всего, травмы людей, часто очень серьезные, должны быть оставлены в прошлом.

Назад

Устройства управления и устройства, используемые для отключения и переключения, всегда должны обсуждаться в отношении технические системы, термин, используемый в этой статье для обозначения машин, установок и оборудования. Каждая техническая система выполняет определенную и поставленную практическую задачу. Если эта практическая задача должна быть выполнимой или даже возможной в безопасных условиях, необходимы соответствующие устройства управления безопасностью и переключатели. Такие устройства используются для того, чтобы инициировать управление, прерывать или замедлять ток и/или импульсы электрической, гидравлической, пневматической, а также потенциальной энергии.

Изоляция и энергосбережение

Изолирующие устройства используются для изоляции энергии путем отключения питающей линии между источником энергии и технической системой. Изолирующее устройство должно, как правило, обеспечивать однозначно определяемое фактическое отключение подачи энергии. Отключение энергоснабжения также всегда должно сочетаться с уменьшением запаса энергии во всех частях технической системы. Если техническая система питается от нескольких источников энергии, все эти питающие линии должны быть надежно изолированы. Лица, обученные обращению с соответствующим видом энергии и работающие на энергетическом конце технической системы, используют изолирующие устройства, чтобы защитить себя от опасностей, связанных с энергией. Из соображений безопасности эти лица всегда проверяют, чтобы в технической системе не осталось потенциально опасной энергии, например, констатируя отсутствие электрического потенциала в случае электрической энергии. Безопасное обращение с некоторыми изолирующими устройствами возможно только для обученных специалистов; в таких случаях изолирующее устройство должно быть сделано недоступным для посторонних лиц. (См. рис. 1.)

Рисунок 1. Принцип действия электрических и пневматических изолирующих устройств

Главный переключатель

Устройство главного выключателя отключает техническую систему от энергоснабжения. В отличие от изолирующего устройства, с ним может безопасно эксплуатироваться даже «неэнергетический специалист». Устройство главного выключателя предназначено для отключения неиспользуемых в данный момент технических систем, например, в случае воспрепятствования их работе посторонними третьими лицами. Он также используется для отключения в таких целях, как техническое обслуживание, устранение неисправностей, очистка, сброс и переналадка, при условии, что такая работа может выполняться без энергии в системе. Естественно, когда устройство главного выключателя также обладает характеристиками разъединяющего устройства, оно также может взять на себя и/или разделить его функцию. (См. рис. 2.)

Рис. 2. Пример изображения электрических и пневматических устройств главного выключателя.

Устройство защитного отключения

Устройство защитного отключения не отключает всю техническую систему от источника энергии; скорее, он удаляет энергию из частей системы, критически важных для конкретной операционной подсистемы. Кратковременные вмешательства могут быть назначены для операционных подсистем, например, для настройки или сброса/переоснащения системы, для устранения неисправностей, для регулярной очистки, а также для основных и определенных движений и последовательностей функций, необходимых в течение курса. настройки, сброса/переоснащения или пробных запусков. Сложное производственное оборудование и установки нельзя просто отключить с помощью главного выключателя в этих случаях, так как вся техническая система не может снова запуститься с того места, где она остановилась после устранения неисправности. Кроме того, в более обширных технических системах устройство главного выключателя редко находится в том месте, где должно быть выполнено вмешательство. Таким образом, устройство защитного отключения должно соответствовать ряду требований, таких как:

• Он надежно прерывает поток энергии и таким образом, что опасные движения или процессы не вызываются ошибочно введенными или ошибочно сгенерированными управляющими сигналами.
• Он устанавливается именно там, где должны быть сделаны перерывы в опасных зонах операционных подсистем технической системы. При необходимости установка может быть в нескольких местах (например, на разных этажах, в разных помещениях или в разных точках доступа к машинам или оборудованию).
• Его устройство управления имеет четко обозначенное положение «выключено», которое регистрируется только один раз после надежного отключения потока энергии.
• Когда его устройство управления находится в положении «выключено», его устройство управления может быть защищено от повторного включения без разрешения (a), если рассматриваемые опасные зоны не могут надежно контролироваться из зоны управления и (b) если лица, находящиеся в опасной зоне, не могут сами видеть устройства управления быстро и постоянно, или (c) если блокировка/маркировка требуется в соответствии с правилами или организационными процедурами.
• Следует отключать только один функциональный блок расширенной технической системы, если другие функциональные блоки способны продолжать работать самостоятельно без опасности для вмешавшегося человека.

Если устройство главного выключателя, используемое в данной технической системе, способно выполнить все требования, предъявляемые к устройству защитного отключения, оно также может взять на себя эту функцию. Но это, конечно, будет надежным средством только в очень простых технических системах. (См. рис. 3.)

Рисунок 3. Иллюстрация элементарных принципов устройства защитного отключения

Механизмы управления для операционных подсистем

Механизмы управления обеспечивают безопасное выполнение и управление движениями и функциональными последовательностями, необходимыми для операционных подсистем технической системы. Для наладки (при выполнении тестовых запусков) могут потребоваться устройства управления рабочими подсистемами; для регулирования (при устранении неполадок в работе системы или при устранении засоров); или учебных целях (демонстрация операций). В таких случаях нормальная работа системы не может быть просто перезапущена, так как вмешивающееся лицо будет подвергаться опасности из-за движений и процессов, запускаемых ошибочно введенными или ошибочно сгенерированными управляющими сигналами. Аппаратура управления оперативными подсистемами должна соответствовать следующим требованиям:

• Он должен обеспечивать безопасное выполнение движений и процессов, необходимых для операционных подсистем технической системы. Например, определенные движения будут выполняться с пониженной скоростью, постепенно или с меньшими уровнями мощности (в зависимости от того, что уместно), а процессы немедленно прерываются, как правило, если за пультом больше не следят.
• Его пульты управления должны располагаться в местах, где их работа не представляет опасности для оператора, и откуда полностью видны контролируемые процессы.
• Если в одном месте имеется несколько панелей управления, управляющих различными процессами, то они должны быть четко обозначены и расположены в четкой и понятной форме.
• Механизм управления рабочими подсистемами должен вступать в действие только после надежного отключения нормальной работы; то есть должно быть гарантировано, что никакая управляющая команда не может эффективно выдаваться при нормальной работе и блокировать механизм управления.
• Несанкционированное использование механизма управления для операционных подсистем должно быть предотвращено, например, путем требования использования специального ключа или кода для разблокировки рассматриваемой функции. (См. рис. 4.)

Рис. 4. Исполнительные устройства в механизмах управления подвижными и стационарными рабочими подсистемами

Аварийный выключатель

Аварийные выключатели необходимы там, где нормальная работа технических систем может привести к опасностям, которые не могут быть предотвращены ни соответствующей конструкцией системы, ни принятием соответствующих мер предосторожности. В операционных подсистемах аварийный выключатель часто является частью механизма управления оперативной подсистемой. При срабатывании в случае опасности аварийный выключатель реализует процессы, максимально быстро возвращающие техническую систему в безопасное рабочее состояние. Что касается приоритетов безопасности, то защита людей имеет первостепенное значение; предотвращение повреждения материала является второстепенным, если только последний не может также представлять опасность для людей. Аварийный выключатель должен соответствовать следующим требованиям:

• Он должен как можно быстрее привести в безопасное рабочее состояние технической системы.
• Его панель управления должна быть легко узнаваема, размещена и сконструирована таким образом, чтобы лица, находящиеся в опасности, могли без труда управлять ею, а также могли быть доступны другие лица, принимающие участие в аварийной ситуации.
• Аварийные процессы, которые он запускает, не должны приводить к новым опасностям; например, они не должны освобождать зажимные устройства или отсоединять магнитные держатели или блокировать устройства безопасности.
• После запуска процесса аварийного выключения техническая система не должна иметь возможности автоматического перезапуска путем сброса панели управления аварийным выключателем. Скорее, должен требоваться сознательный ввод новой команды управления функцией. (См. рис. 5.)

Рисунок 5. Иллюстрация принципов работы панелей управления в аварийных выключателях

Устройство управления переключателем функций

Устройства управления переключателями функций служат для включения технической системы в нормальный режим работы, а также для инициирования, осуществления и прерывания движений и процессов, предназначенных для нормального режима работы. Устройство управления переключателем функций используется исключительно в процессе нормальной работы технической системы, т. е. при беспрепятственном выполнении всех назначенных функций. Он используется соответственно лицами, управляющими технической системой. Устройства управления переключателями функций должны соответствовать следующим требованиям:

• Их панели управления должны быть доступны и просты в использовании без опасности.
• Их пульты управления должны быть четко и рационально расположены; например, ручки управления должны работать «рационально» в отношении контролируемых движений вверх и вниз, вправо и влево. («Рациональные» движения управления и соответствующие эффекты могут быть предметом местных вариаций и иногда определяются условиями.)
• Их панели управления должны иметь четкую и понятную маркировку с понятными символами.
• Процессы, требующие полного внимания пользователя для их безопасного выполнения, не должны запускаться ни управляющими сигналами, сгенерированными по ошибке, ни непреднамеренным срабатыванием управляющих ими управляющих устройств. Обработка сигналов контрольной панели должна быть достаточно надежной, а непроизвольное срабатывание должно предотвращаться соответствующей конструкцией контрольного устройства. (См. рис. 6).

Рисунок 6. Схематическое изображение панели управления операциями

Контрольные переключатели

Контрольные выключатели предотвращают запуск технической системы до тех пор, пока не выполняются контролируемые условия безопасности, и прерывают работу, как только условие безопасности больше не выполняется. Они используются, например, для контроля дверей в защитных отсеках, для проверки правильного положения защитных ограждений или для обеспечения того, чтобы ограничения скорости или пути не были превышены. Соответственно контрольные выключатели должны удовлетворять следующим требованиям безопасности и надежности:

• Коммутационное устройство, используемое для целей контроля, должно подавать защитный сигнал особенно надежно; например, механический контрольный переключатель может быть спроектирован так, чтобы прерывать поток сигнала автоматически и с особой надежностью.
• Коммутационный инструмент, используемый для целей контроля, должен работать особенно надежно, когда условие безопасности не выполняется (например, когда толкатель контрольного выключателя с автоматическим прерыванием механически и автоматически принудительно приводится в положение прерывания).
• Контрольный выключатель не должен быть отключен неправильно, по крайней мере, непреднамеренно и без приложения усилий; это условие может быть выполнено, например, механическим, автоматически управляемым выключателем с автоматическим прерыванием, когда выключатель и рабочий орган надежно закреплены. (См. рис. 7).

Рис. 7. Схема выключателя с принудительным механическим срабатыванием и принудительным отключением

Цепи управления безопасностью

Некоторые из описанных выше предохранительных коммутационных устройств не выполняют функцию безопасности напрямую, а скорее посылают сигнал, который затем передается и обрабатывается схемой управления безопасностью и, наконец, достигает тех частей технической системы, которые выполняют реальную функцию безопасности. Устройство защитного отключения, например, часто косвенно вызывает отключение энергии в критических точках, тогда как главный выключатель обычно напрямую отключает подачу тока в техническую систему.

Поскольку цепи управления безопасностью должны надежно передавать сигналы безопасности, необходимо учитывать следующие принципы:

• Безопасность должна быть гарантирована даже при отсутствии или недостатке внешней энергии, например, при отключениях или утечках.
• Защитные сигналы работают более надежно за счет прерывания потока сигналов; например, предохранительные выключатели с размыкающим контактом или разомкнутым релейным контактом.
• Защитная функция усилителей, трансформаторов и т.п. может выполняться более надежно без внешней энергии; такие механизмы включают, например, электромагнитные переключающие устройства или вентиляционные отверстия, которые закрыты в состоянии покоя.
• Недопустимо, чтобы ошибочно выполненные соединения и утечки в цепи управления безопасностью приводили к ложным пускам или препятствовали остановке; особенно в случаях короткого замыкания между вводом и выводом кабелепровода, утечки на землю или заземления.
• Внешние воздействия, воздействующие на систему в мере, не превышающей ожиданий пользователя, не должны нарушать функцию безопасности схемы управления безопасностью.

Компоненты, используемые в цепях управления безопасностью, должны выполнять функцию безопасности особенно надежно. Функции компонентов, не отвечающих этому требованию, должны быть реализованы путем организации как можно более диверсифицированного резервирования и должны находиться под наблюдением.

Назад

В последние несколько лет микропроцессоры играют все возрастающую роль в области техники безопасности. Поскольку целые компьютеры (т. е. центральный процессор, память и периферийные компоненты) теперь доступны в одном компоненте как «одночиповые компьютеры», микропроцессорная технология используется не только для управления сложными машинами, но и для защиты относительно простой конструкции. (например, световые решетки, устройства двуручного управления и защитные кромки). Программное обеспечение, управляющее этими системами, включает от одной тысячи до нескольких десятков тысяч одиночных команд и обычно состоит из нескольких сотен программных ветвей. Программы работают в режиме реального времени и в основном написаны на языке ассемблера программистов.

Внедрение автоматизированных систем в области техники безопасности сопровождалось во всех крупномасштабных технических средствах не только дорогостоящими НИОКР, но и существенными ограничениями, направленными на повышение безопасности. (Аэрокосмическая технология, военная технология и технология атомной энергии могут быть приведены здесь в качестве примеров крупномасштабного применения.) Коллективная область промышленного массового производства до сих пор рассматривалась лишь очень ограниченно. Отчасти это происходит по той причине, что быстрые циклы инноваций, характерные для проектирования промышленных машин, затрудняют передачу, за исключением очень ограниченного, знания, которое может быть получено в результате исследовательских проектов, связанных с окончательным тестированием крупномасштабных машин. устройства для обеспечения безопасности. Это делает разработку быстрых и недорогих процедур оценки необходимой (Reinert and Reuss, 1991).

В этой статье сначала рассматриваются машины и оборудование, в которых компьютерные системы в настоящее время выполняют задачи по обеспечению безопасности, на примерах несчастных случаев, происходящих преимущественно в области защиты машин, чтобы показать особую роль, которую компьютеры играют в технологиях безопасности. Эти несчастные случаи дают некоторое представление о том, какие меры предосторожности должны быть приняты, чтобы компьютеризированное оборудование для обеспечения безопасности, которое в настоящее время получает все более широкое распространение, не привело к увеличению числа несчастных случаев. В заключительном разделе статьи описывается процедура, которая позволит довести даже небольшие компьютерные системы до надлежащего уровня технической безопасности при оправданных затратах и ​​в течение приемлемого периода времени. Принципы, указанные в этой заключительной части, в настоящее время внедряются в международные процедуры стандартизации и будут иметь значение для всех областей техники безопасности, в которых находят применение компьютеры.

Примеры использования программного обеспечения и компьютеров в области защиты машин

Следующие четыре примера показывают, что программное обеспечение и компьютеры в настоящее время все больше и больше входят в приложения, связанные с безопасностью, в коммерческой сфере.

Индивидуально-аварийные сигнальные установки состоят, как правило, из центрального приемного пункта и ряда индивидуальных аварийных сигнализаторов. Устройства несут лица, работающие на объекте самостоятельно. Если кто-либо из этих лиц, работающих в одиночку, окажется в аварийной ситуации, он может использовать устройство для срабатывания сигнализации по радиосигналу в центральном приемном пункте. Такой волевой пусковой механизм может быть дополнен механизмом произвольного срабатывания, приводимым в действие датчиками, встроенными в персональные аварийные устройства. Как отдельные устройства, так и центральная приемная станция часто управляются микрокомпьютерами. Вполне возможно, что отказ отдельных отдельных функций встроенного компьютера может привести в аварийной ситуации к несрабатыванию сигнализации. Поэтому необходимо принять меры предосторожности, чтобы вовремя заметить и устранить такую ​​потерю функции.

Печатные станки, используемые сегодня для печати журналов, представляют собой большие машины. Бумажные полотна обычно подготавливаются на отдельной машине таким образом, чтобы обеспечить плавный переход на новый бумажный рулон. Отпечатанные страницы сгибаются на фальцевальной машине и затем проходят через цепочку других машин. В результате поддоны загружаются полностью сшитыми магазинами. Хотя такие установки автоматизированы, есть две точки, в которых необходимо выполнять ручное вмешательство: (1) при заправке трактов бумаги и (2) при устранении препятствий, вызванных разрывами бумаги в опасных местах на вращающихся роликах. По этой причине во время регулировки прессов технология управления должна обеспечивать пониженную скорость работы или режим толчкового перемещения с ограничением по траектории или времени. Из-за сложных процедур управления каждая отдельная станция печати должна быть оснащена собственным программируемым логическим контроллером. Любая неисправность, возникающая в системе управления типографией при открытых защитных решетках, должна не допускать, чтобы она приводила либо к неожиданному запуску остановленной машины, либо к работе с превышением допустимо сниженных скоростей.

На крупных фабриках и складах беспилотные автоматизированные роботизированные транспортные средства передвигаются по специально размеченным дорожкам. По этим путям в любое время могут пройти люди, или материалы и оборудование могут быть непреднамеренно оставлены на путях, поскольку они конструктивно не отделены от других путей движения. По этой причине необходимо использовать какое-либо оборудование для предотвращения столкновений, чтобы гарантировать, что транспортное средство будет остановлено до того, как произойдет опасное столкновение с человеком или объектом. В более поздних применениях предотвращение столкновений осуществляется с помощью ультразвуковых или лазерных сканеров, используемых в сочетании с защитным бампером. Поскольку эти системы работают под управлением компьютера, можно настроить несколько постоянных зон обнаружения, чтобы транспортное средство могло изменять свою реакцию в зависимости от конкретной зоны обнаружения, в которой находится человек. Неисправности защитного устройства не должны приводить к опасному столкновению с человеком.

Гильотины устройства контроля обрезки бумаги используются для прессования, а затем разрезания толстых стопок бумаги. Они запускаются двуручным устройством управления. Пользователь должен проникнуть в опасную зону станка после каждого разреза. Нематериальная защита, обычно легкая решетка, используется в сочетании с устройством управления двумя руками и безопасной системой управления машиной для предотвращения травм при подаче бумаги во время операции резки. Почти все более крупные и современные гильотины, используемые сегодня, управляются многоканальными микрокомпьютерными системами. Как управление двумя руками, так и световая сетка также должны гарантировать безопасное функционирование.

Аварии с компьютерными системами

Почти во всех областях промышленного применения сообщается об авариях с программным обеспечением и компьютерами (Neumann 1994). В большинстве случаев компьютерные сбои не приводят к травмам людей. Такие неудачи в любом случае предаются гласности только тогда, когда они представляют общественный интерес. Это означает, что случаи неисправности или несчастного случая, связанные с компьютерами и программным обеспечением, в результате которых пострадали люди, составляют относительно высокую долю всех получивших огласку случаев. К сожалению, аварии, которые не вызывают большой общественной сенсации, не расследуются в отношении их причин с такой же интенсивностью, как более серьезные аварии, как правило, на крупных предприятиях. По этой причине нижеследующие примеры относятся к четырем описаниям неисправностей или аварий, типичных для систем с компьютерным управлением, не относящихся к области защиты машин, которые используются для того, чтобы указать, что следует принимать во внимание при вынесении суждений, касающихся техники безопасности.

Аварии, вызванные случайными сбоями в оборудовании

Следующая авария была вызвана концентрацией случайных отказов в оборудовании в сочетании с программным сбоем: Реактор перегрелся на химическом заводе, после чего были открыты предохранительные клапаны, позволившие выпустить содержимое реактора в атмосферу. Эта авария произошла вскоре после того, как было дано предупреждение о том, что уровень масла в коробке передач слишком низкий. Тщательное расследование аварии показало, что вскоре после того, как катализатор инициировал реакцию в реакторе, вследствие чего реактору потребовалось бы дополнительное охлаждение, компьютер, на основании сообщения о низком уровне масла в коробке передач, заморозил все. величины, находящиеся под его контролем, на фиксированном уровне. Это удерживало поток холодной воды на слишком низком уровне, в результате чего реактор перегревался. Дальнейшее расследование показало, что индикация низкого уровня масла была вызвана неисправным компонентом.

Программное обеспечение отреагировало в соответствии со спецификацией срабатыванием аварийного сигнала и фиксацией всех рабочих переменных. Это было следствием исследования HAZOP (анализ опасностей и работоспособности) (Knowlton 1986), проведенного до события, которое требовало, чтобы все контролируемые переменные не изменялись в случае отказа. Поскольку программист не был подробно знаком с процедурой, это требование было истолковано как означающее, что управляемые исполнительные механизмы (в данном случае регулирующие клапаны) не должны были модифицироваться; не обращали внимания на возможность повышения температуры. Программист не учел, что после получения ошибочного сигнала система может оказаться в динамической ситуации типа требующей активного вмешательства компьютера для предотвращения аварии. Более того, ситуация, приведшая к несчастному случаю, была настолько маловероятной, что не была подробно проанализирована в исследовании HAZOP (Levenson 1986). Этот пример обеспечивает переход ко второй категории причин программно-компьютерных аварий. Это систематические сбои, которые есть в системе с самого начала, но которые проявляются только в определенных очень специфических ситуациях, которые разработчик не учел.

Несчастные случаи, вызванные сбоями в работе

В полевых испытаниях во время окончательной проверки роботов один техник позаимствовал кассету соседнего робота и заменил ее другой, не сообщив об этом своему коллеге. Вернувшись на свое рабочее место, коллега вставил не ту кассету. Так как он стоял рядом с роботом и ожидал от него определенной последовательности движений — последовательности, которая получалась иначе из-за обменной программы, — между роботом и человеком произошло столкновение. Эта авария описывает классический пример эксплуатационного отказа. Роль таких отказов в неисправностях и авариях в настоящее время возрастает в связи с усложнением применения управляемых компьютером механизмов безопасности.

Несчастные случаи, вызванные систематическими сбоями в оборудовании или программном обеспечении

Торпеда с боеголовкой должна была быть выпущена в учебных целях с боевого корабля в открытом море. Из-за дефекта приводного аппарата торпеда осталась в торпедном аппарате. Капитан решил вернуться в порт приписки, чтобы спасти торпеду. Вскоре после того, как корабль начал возвращаться домой, торпеда взорвалась. Анализ аварии показал, что разработчики торпеды были вынуждены встроить в торпеду механизм, предназначенный для предотвращения ее возвращения на стартовую площадку после выстрела и, таким образом, уничтожения запустившего ее корабля. Для этого был выбран следующий механизм: после выстрела торпеды с помощью инерциальной навигационной системы проверяли, не изменился ли ее курс на 180°. Как только торпеда почувствовала, что повернулась на 180°, она тут же взорвалась, предположительно на безопасном расстоянии от стартовой площадки. Этот механизм обнаружения срабатывал в случае неправильного пуска торпеды, в результате чего торпеда взорвалась после того, как корабль изменил курс на 180°. Это типичный пример аварии, произошедшей из-за несоблюдения спецификаций. Недостаточно точно сформулировано требование в ТУ о том, что торпеда не должна уничтожать собственный корабль при изменении курса; Таким образом, меры предосторожности были запрограммированы ошибочно. Ошибка проявилась только в конкретной ситуации, которую программист не учел как возможность.

14 сентября 1993 г. при посадке в Варшаве разбился самолет Airbus A 320 авиакомпании Lufthansa (рис. 1). Тщательное расследование авиакатастрофы показало, что за эту аварийную посадку частично ответственны изменения в логике посадки бортового компьютера, сделанные после аварии с самолетом Lauda Air Boeing 767 в 1991 году. Что произошло в аварии 1991 года, так это то, что отклонение тяги, которое отводит часть газов двигателя, чтобы затормозить самолет во время посадки, сработало еще в воздухе, что вынудило машину совершить неконтролируемое пикирование. По этой причине в машины Airbus была встроена электронная блокировка отклонения тяги. Этот механизм позволял вступать в силу отклонения тяги только после того, как датчики на обоих комплектах шасси подали сигнал о сжатии амортизаторов под давлением касания колес. На основании неверной информации пилоты самолета в Варшаве предвидели сильный боковой ветер.

Рис. 1. Lufthansa Airbus после аварии в Варшаве, 1993 г.

По этой причине они привезли машину с небольшим наклоном, и Airbus приземлился только правым колесом, оставив левый подшипник меньше, чем полный вес. Из-за электронной блокировки отклонения тяги бортовой компьютер в течение девяти секунд отказывал пилоту в таких маневрах, которые позволили бы самолету благополучно приземлиться, несмотря на неблагоприятные обстоятельства. Эта авария очень наглядно демонстрирует, что изменения в компьютерных системах могут привести к новым и опасным ситуациям, если заранее не учитывать диапазон их возможных последствий.

Следующий пример неисправности также демонстрирует катастрофические последствия, которые может иметь изменение одной единственной команды в компьютерных системах. Содержание алкоголя в крови определяют химическими тестами с использованием прозрачной сыворотки крови, из которой предварительно отцентрифугированы кровяные тельца. Таким образом, содержание алкоголя в сыворотке выше (в 1.2 раза), чем в более густой цельной крови. По этой причине значения алкоголя в сыворотке должны быть разделены на коэффициент 1.2, чтобы установить юридически и с медицинской точки зрения критические цифры в тысячных частях. В межлабораторном испытании, проведенном в 1984 г., значения содержания алкоголя в крови, установленные в идентичных испытаниях, проведенных в различных научно-исследовательских учреждениях с использованием сыворотки, должны были быть сопоставлены друг с другом. Поскольку речь шла только о сравнении, команда делить на 1.2 была, кроме того, стерта из программы в одном из учреждений на время эксперимента. После окончания межлабораторного испытания в этом месте ошибочно была введена в программу команда умножения на 1.2. В результате в период с августа 1,500 г. по март 1984 г. было рассчитано примерно 1985 неверных значений частей на тысячу. Эта ошибка была критической для профессиональной карьеры водителей-дальнобойщиков с уровнем алкоголя в крови от 1.0 до 1.3 промилле, поскольку юридическое наказание, влекущее за собой конфискацию водительских прав на длительный срок, является следствием значения 1.3 промилле.

Несчастные случаи, вызванные воздействием эксплуатационных нагрузок или стрессов окружающей среды

В результате помех, вызванных сбором отходов в рабочей зоне станка для вырубки и штамповки с ЧПУ (ЧПУ), пользователь ввел в действие «запрограммированную остановку». Когда он пытался удалить отходы руками, толкатель машины начал двигаться, несмотря на запрограммированную остановку, и серьезно ранил пользователя. Анализ аварии показал, что речь шла не об ошибке в программе. Неожиданный пуск воспроизвести не удалось. Подобные нарушения наблюдались и в прошлом на других машинах того же типа. Из них кажется правдоподобным сделать вывод, что авария должна была быть вызвана электромагнитными помехами. Подобные несчастные случаи с промышленными роботами зарегистрированы в Японии (Neumann 1987).

Неисправность космического корабля "Вояджер-2" 18 января 1986 года еще больше прояснила влияние стрессов окружающей среды на системы, управляемые компьютером. За шесть дней до максимального сближения с Ураном изображения с «Вояджера-2» покрывали большие поля черно-белых линий. Точный анализ показал, что один бит в командном слове подсистемы полетных данных вызвал сбой, наблюдаемый как изображения были сжаты в зонде. Этот бит, скорее всего, был выбит из памяти программы ударом космической частицы. Безошибочная передача сжатых фотографий с зонда была осуществлена ​​только через два дня с использованием программы-замены, способной обойти неисправную точку памяти (Laeser, McLaughlin and Wolff, 1987).

Краткое изложение представленных аварий

Проанализированные несчастные случаи показывают, что некоторые риски, которыми можно было бы пренебречь в условиях использования простой электромеханической технологии, приобретают значение при использовании компьютеров. Компьютеры позволяют выполнять сложные и зависящие от ситуации функции безопасности. По этой причине особенно важной становится однозначная, безошибочная, полная и проверяемая спецификация всех функций безопасности. Ошибки в спецификациях трудно обнаружить, и они часто являются причиной аварий в сложных системах. Свободно программируемые элементы управления обычно вводятся с намерением гибко и быстро реагировать на изменения рынка. Однако модификации, особенно в сложных системах, имеют побочные эффекты, которые трудно предвидеть. Поэтому все модификации должны подвергаться строго формальной процедуре управления изменениями, в которой четкое отделение функций безопасности от частичных систем, не связанных с безопасностью, поможет легко отслеживать последствия модификаций для технологии безопасности.

Компьютеры работают с низким уровнем электричества. Поэтому они чувствительны к помехам от внешних источников излучения. Поскольку модификация одного-единственного сигнала среди миллионов может привести к неисправности, стоит уделить особое внимание теме электромагнитной совместимости применительно к компьютерам.

Обслуживание систем с компьютерным управлением в настоящее время становится все более сложным и, следовательно, все более неясным. Таким образом, эргономика программного обеспечения пользователя и программного обеспечения для настройки становится все более интересной с точки зрения техники безопасности.

Ни одна компьютерная система не может быть протестирована на 100%. Простой механизм управления с 32 бинарными входными портами и 1,000 различных программных путей требует 4.3 × 10¹² тесты для полной проверки. При скорости выполнения и оценки 100 тестов в секунду полное тестирование заняло бы 1,362 года.

Процедуры и меры по совершенствованию компьютеризированных устройств безопасности

За последние 10 лет были разработаны процедуры, которые позволяют справиться с конкретными задачами, связанными с безопасностью, связанными с компьютерами. Эти процедуры относятся к сбоям компьютера, описанным в этом разделе. Описанные примеры программного обеспечения и компьютеров для обеспечения безопасности машин и проанализированные несчастные случаи показывают, что степень ущерба и, следовательно, также риск, связанный с различными приложениями, чрезвычайно различны. Поэтому ясно, что необходимые меры предосторожности для улучшения компьютеров и программного обеспечения, используемых в технике безопасности, должны быть установлены в отношении риска.

На рис. 2 показана качественная процедура, с помощью которой можно определить необходимое снижение риска, достигаемое с помощью систем безопасности, независимо от степени и частоты возникновения ущерба (Bell and Reinert 1992). Типы отказов в компьютерных системах, проанализированные в разделе «Аварии с компьютерными системами» (выше), могут быть соотнесены с так называемыми уровнями полноты безопасности, т. е. с техническими средствами снижения риска.

Рисунок 2. Качественная процедура определения риска

Рисунок 3 ясно показывает, что эффективность мер, принимаемых в любом конкретном случае для уменьшения ошибок в программном обеспечении и компьютерах, должна возрастать с увеличением риска (DIN 1994; IEC 1993).

Рисунок 3. Эффективность мер предосторожности против ошибок независимо от риска

Анализ приведенных выше аварий показывает, что отказ управляемых компьютером защит вызван не только случайными отказами компонентов, но и особыми условиями эксплуатации, которые не были учтены программистом. Не сразу очевидные последствия модификаций программы, сделанных в ходе обслуживания системы, представляют собой дополнительный источник ошибок. Отсюда следует, что в системах безопасности, управляемых микропроцессорами, возможны отказы, которые хотя и допущены при разработке системы, но могут привести к возникновению опасной ситуации только в процессе эксплуатации. Поэтому необходимо принимать меры предосторожности против таких отказов, пока системы, связанные с безопасностью, находятся на стадии разработки. Эти так называемые меры по предотвращению отказов должны приниматься не только на этапе разработки концепции, но и в процессе разработки, установки и модификации. Определенных отказов можно избежать, если они будут обнаружены и устранены в ходе этого процесса (DIN 1990).

Как ясно показывает последняя описанная авария, выход из строя одного транзистора может привести к техническому отказу очень сложного автоматизированного оборудования. Поскольку каждая отдельная схема состоит из многих тысяч транзисторов и других компонентов, должны быть приняты многочисленные меры по предотвращению отказов, чтобы распознать такие отказы, возникающие в процессе работы, и инициировать соответствующую реакцию в компьютерной системе. На рисунке 4 описаны типы отказов в программируемых электронных системах, а также примеры мер предосторожности, которые могут быть приняты для предотвращения и контроля отказов в компьютерных системах (DIN 1990; IEC 1992).

Рисунок 4. Примеры мер предосторожности, принимаемых для контроля и предотвращения ошибок в компьютерных системах

Возможности и перспективы программируемых электронных систем в технике безопасности

Современные машины и установки становятся все более сложными и должны решать все более сложные задачи за все более короткие промежутки времени. По этой причине компьютерные системы захватили почти все области промышленности с середины 1970-х годов. Одно только это увеличение сложности в значительной степени способствовало росту затрат, связанных с улучшением технологии безопасности в таких системах. Хотя программное обеспечение и компьютеры создают серьезную проблему для безопасности на рабочем месте, они также позволяют внедрять новые безошибочные системы в области техники безопасности.

Забавный, но поучительный стих Эрнста Яндла поможет объяснить, что подразумевается под понятием безошибочный. «Lichtung: Manche meinen lechts und rinks kann man nicht velwechsern, werch ein Illtum». («Направление: многие считают, что свет и свет нельзя поменять местами, что за эллол».) Несмотря на обмен письмами r и l, эта фраза легко понятна нормальному взрослому человеку. Даже человек с низким уровнем владения английским языком может перевести его на английский язык. Однако задача для переводящего компьютера практически невыполнима.

Этот пример показывает, что человек может реагировать гораздо более безошибочно, чем языковой компьютер. Это означает, что люди, как и все другие живые существа, могут терпеть неудачи, ссылаясь на них. Если посмотреть на машины, используемые сегодня, можно увидеть, что большинство машин наказывает пользователей за отказы не несчастным случаем, а снижением производительности. Это свойство приводит к манипулированию или обходу средств защиты. Современные компьютерные технологии предоставляют в распоряжение системы безопасности труда, которые могут реагировать интеллектуально, т. е. модифицированным образом. Таким образом, такие системы делают возможным безошибочный режим работы новых машин. Они в первую очередь предупреждают пользователей при неправильной работе и выключают машину только тогда, когда это единственный способ избежать аварии. Анализ несчастных случаев показывает, что в этой области существует значительный потенциал для снижения числа несчастных случаев (Reinert and Reuss, 1991).

Назад

Гибридная автоматизированная система (ГАС) призвана интегрировать возможности машин с искусственным интеллектом (на основе компьютерных технологий) с возможностями людей, взаимодействующих с этими машинами в процессе своей трудовой деятельности. Основные проблемы использования HAS связаны с тем, как должны быть спроектированы человеческие и машинные подсистемы, чтобы наилучшим образом использовать знания и навыки обеих частей гибридной системы, и как люди-операторы и компоненты машины должны взаимодействовать друг с другом. чтобы их функции дополняли друг друга. Многие гибридные автоматизированные системы развились как продукты применения современных методологий, основанных на информации и управлении, для автоматизации и интеграции различных функций часто сложных технологических систем. Первоначально HAS была идентифицирована с внедрением компьютерных систем, используемых при проектировании и эксплуатации систем управления в реальном времени для ядерных энергетических реакторов, для химических заводов и для технологии производства дискретных деталей. В настоящее время HAS также можно найти во многих сферах обслуживания, таких как управление воздушным движением и процедуры навигации самолетов в области гражданской авиации, а также при разработке и использовании интеллектуальных систем навигации для транспортных средств и шоссе в дорожном транспорте.

С продолжающимся прогрессом в компьютерной автоматизации характер человеческих задач в современных технологических системах меняется от задач, требующих перцептивно-моторных навыков, к задачам, требующим когнитивной деятельности, которые необходимы для решения проблем, принятия решений при мониторинге системы и для задачи диспетчерского контроля. Например, люди-операторы в компьютеризированных производственных системах в основном действуют как системные мониторы, решают проблемы и принимают решения. Когнитивная деятельность человека-руководителя в любой среде HAS заключается в (1) планировании того, что следует делать в течение заданного периода времени, (2) разработке процедур (или шагов) для достижения набора запланированных целей, (3) мониторинге прогресса. (технологических) процессов, (4) «обучение» системы через человеко-интерактивный компьютер, (5) вмешательство, если система ведет себя ненормально или если меняются приоритеты управления, и (6) обучение через обратную связь от системы о воздействии надзорные действия (Шеридан, 1987).

Гибридная система

Взаимодействие человека и машины в HAS включает использование динамических коммуникационных циклов между людьми-операторами и интеллектуальными машинами — процесс, который включает в себя получение и обработку информации, а также инициирование и выполнение задач управления и принятие решений — в рамках заданной структуры распределения функций между люди и машины. Как минимум, взаимодействие между людьми и автоматизацией должно отражать высокую сложность гибридных автоматизированных систем, а также соответствующие характеристики людей-операторов и требования к задачам. Таким образом, гибридная автоматизированная система формально может быть определена как пятерка в следующей формуле:

ЕСТЬ = (Т, У, С, Е, И)

в котором T = требования к задаче (физические и когнитивные); U = характеристики пользователя (физические и когнитивные); C = характеристики автоматизации (аппаратное и программное обеспечение, включая компьютерные интерфейсы); E = среда системы; I = набор взаимодействий между вышеуказанными элементами.

Набор взаимодействий I воплощает в себе все возможные взаимодействия между T, U и C in E независимо от их характера или силы связи. Например, одно из возможных взаимодействий может включать связь данных, хранящихся в памяти компьютера, с соответствующими знаниями, если таковые имеются, у человека-оператора. Взаимодействия I может быть элементарным (т. е. ограниченным взаимно-однозначной ассоциацией) или сложным, например, включать взаимодействие между человеком-оператором, конкретным программным обеспечением, используемым для выполнения желаемой задачи, и доступным физическим интерфейсом с компьютером.

Разработчики многих гибридных автоматизированных систем сосредотачиваются в первую очередь на автоматизированной интеграции сложных машин и другого оборудования как части компьютерной технологии, редко уделяя большое внимание первостепенной необходимости эффективной интеграции человека в такие системы. Поэтому в настоящее время многие компьютерно-интегрированные (технологические) системы не полностью совместимы с присущими человеку возможностями, выражающимися в навыках и знаниях, необходимых для эффективного управления и мониторинга этих систем. Такая несовместимость возникает на всех уровнях человеческого, машинного и человеко-машинного функционирования и может быть определена в рамках отдельного человека и всей организации или объекта. Например, проблемы интеграции людей и технологий на передовых производственных предприятиях возникают на ранней стадии проектирования HAS. Эти проблемы могут быть концептуализированы с использованием следующей модели системной интеграции сложности взаимодействий: I, между разработчиками системы, D, операторы, H, или потенциальные пользователи системы и технологии, T:

Я (Ч, Т) = Ф [ Я (Ч, Д), Я (Д, Т)]

в котором I обозначает соответствующие взаимодействия, происходящие в данной структуре HAS, в то время как F указывает на функциональные отношения между дизайнерами, людьми-операторами и технологиями.

Приведенная выше модель системной интеграции подчеркивает тот факт, что взаимодействие между пользователями и технологией определяется результатом интеграции двух предыдущих взаимодействий, а именно (1) взаимодействия между разработчиками HAS и потенциальными пользователями и (2) взаимодействия между разработчиками. и технология HAS (на уровне машин и их интеграции). Следует отметить, что, хотя между проектировщиками и технологиями обычно существует тесное взаимодействие, можно найти очень мало примеров столь же прочных взаимосвязей между проектировщиками и людьми-операторами.

Можно утверждать, что даже в самых автоматизированных системах роль человека остается решающей для успешной работы системы на операционном уровне. Bainbridge (1983) определил ряд проблем, связанных с работой HAS, которые связаны с природой самой автоматизации, а именно:

1. Операторы «вне контура управления». Люди-операторы присутствуют в системе для осуществления управления, когда это необходимо, но, находясь «вне контура управления», они не могут поддерживать навыки ручного труда и долгосрочные системные знания, которые часто требуются в случае чрезвычайной ситуации.
2. Устаревшая «ментальная картина». Люди-операторы могут быть не в состоянии быстро реагировать на изменения в поведении системы, если они не следят очень внимательно за событиями, происходящими в ее работе. Кроме того, знания операторов или их мысленное представление о функционировании системы могут быть недостаточными для того, чтобы инициировать или осуществить требуемые действия.
3. Исчезающие поколения навыков. Новые операторы могут быть не в состоянии приобрести достаточные знания о компьютеризированной системе, приобретенные на основе опыта, и, следовательно, не смогут осуществлять эффективный контроль, когда это необходимо.
4. Авторитет автоматики. Если компьютеризированная система была внедрена потому, что она может выполнять требуемые задачи лучше, чем человек-оператор, возникает вопрос: «На каком основании оператор должен решать, правильные или неправильные решения принимаются автоматизированными системами?»
5. Появление новых видов «человеческих ошибок» за счет автоматизации. Автоматизированные системы приводят к новым видам ошибок и, следовательно, аварий, которые невозможно проанализировать в рамках традиционных методов анализа.

Распределение задач

Одним из важных вопросов при проектировании HAS является определение того, сколько и какие функции или обязанности должны быть возложены на людей-операторов, а какие и сколько — на компьютеры. Как правило, следует рассматривать три основных класса проблем распределения задач: (1) распределение задач между человеком и компьютером, (2) распределение задач между человеком и (3) распределение задач между управляющим компьютером и компьютером. В идеале решения о распределении должны приниматься с помощью некоторой структурированной процедуры распределения до того, как будет начато базовое проектирование системы. К сожалению, такой систематический процесс редко возможен, поскольку функции, которые должны быть распределены, могут либо нуждаться в дальнейшем изучении, либо должны выполняться в интерактивном режиме между человеческими и машинными компонентами системы, то есть посредством применения парадигмы диспетчерского управления. Распределение задач в гибридных автоматизированных системах должно быть сосредоточено на степени ответственности человека и компьютера и должно учитывать характер взаимодействия между человеком-оператором и компьютеризированными системами поддержки принятия решений. Следует также учитывать средства передачи информации между машинами и человеческими интерфейсами ввода-вывода и совместимость программного обеспечения с когнитивными способностями человека решать проблемы.

В традиционных подходах к проектированию и управлению гибридными автоматизированными системами работники рассматривались как детерминированные системы ввода-вывода, и существовала тенденция игнорировать телеологическую природу человеческого поведения, то есть целенаправленное поведение, основанное на приобретении соответствующую информацию и выбор целей (Гудштейн и др., 1988). Чтобы добиться успеха, проектирование и управление передовыми гибридными автоматизированными системами должно основываться на описании психических функций человека, необходимых для выполнения конкретной задачи. Подход «когнитивной инженерии» (более подробно описанный ниже) предполагает, что человеко-машинные (гибридные) системы должны быть задуманы, спроектированы, проанализированы и оценены с точки зрения человеческих мыслительных процессов (т.е. мысленная модель адаптивных систем оператора принимается во внимание). учетная запись). Ниже приведены требования ориентированного на человека подхода к проектированию и эксплуатации HAS, сформулированные Корбеттом (1988):

1. Совместимость. Эксплуатация системы не должна требовать навыков, не связанных с существующими навыками, но должна позволять существующим навыкам развиваться. Человек-оператор должен вводить и получать информацию, которая совместима с общепринятой практикой, чтобы интерфейс соответствовал предшествующим знаниям и навыкам пользователя.
2. Прозрачность. Нельзя управлять системой, не понимая ее. Следовательно, человек-оператор должен иметь возможность «видеть» внутренние процессы управляющего программного обеспечения системы, если необходимо облегчить обучение. Прозрачная система позволяет пользователям легко создавать внутреннюю модель функций принятия решений и контроля, которые может выполнять система.
3. Минимальный шок. Система не должна делать ничего, что операторы считают неожиданным в свете доступной им информации, подробно описывающей текущее состояние системы.
4. Контроль помех. Неопределенные задачи (как определено анализом структуры выбора) должны находиться под контролем человека-оператора с компьютерной поддержкой принятия решений.
5. Погрешность. Неявные навыки и знания людей-операторов не должны быть разработаны вне системы. Операторы никогда не должны ставиться в положение, когда они беспомощно наблюдают, как программное обеспечение управляет неправильной операцией.
6. Обратимость ошибки. Программное обеспечение должно обеспечивать достаточную упреждающую информацию, чтобы информировать человека-оператора о вероятных последствиях конкретной операции или стратегии.
7. Операционная гибкость. Система должна предлагать операторам свободу выбора между требованиями и ограничениями ресурсов путем изменения операционных стратегий без потери поддержки управляющего программного обеспечения.

Когнитивная инженерия человеческого фактора

Когнитивная инженерия человеческого фактора фокусируется на том, как люди-операторы принимают решения на рабочем месте, решают проблемы, формулируют планы и осваивают новые навыки (Hollnagel and Woods, 1983). Роли людей-операторов, функционирующих в любой HAS, можно разделить по схеме Расмуссена (1983) на три основные категории:

1. Поведение, основанное на навыках сенсорно-моторные действия, выполняемые во время действий или действий, которые происходят без сознательного контроля в виде плавных, автоматизированных и высокоинтегрированных паттернов поведения. Человеческая деятельность, подпадающая под эту категорию, считается последовательностью искусных действий, составленных для данной ситуации. Таким образом, поведение, основанное на навыках, является выражением более или менее сохраненных паттернов поведения или заранее запрограммированных инструкций в пространственно-временной области.
2. Поведение на основе правил — это целевая категория производительности, структурированная с помощью прямого управления посредством хранимого правила или процедуры, то есть упорядоченная производительность, позволяющая составить последовательность подпрограмм в знакомой рабочей ситуации. Правило обычно выбирается из предыдущего опыта и отражает функциональные свойства, ограничивающие поведение среды. Производительность на основе правил основана на явных ноу-хау в отношении использования соответствующих правил. Набор данных для принятия решения состоит из ссылок для распознавания и идентификации состояний, событий или ситуаций.
3. Поведение, основанное на знаниях — категория целенаправленной деятельности, при которой цель четко формулируется на основе знаний об окружающей среде и целях человека. Внутренняя структура системы представлена ​​«ментальной моделью». Такой тип поведения позволяет разрабатывать и тестировать различные планы в незнакомых и, следовательно, неопределенных условиях контроля и необходим, когда навыки или правила либо недоступны, либо неадекватны, так что вместо этого необходимо прибегнуть к решению проблем и планированию.

При проектировании и управлении HAS следует учитывать когнитивные характеристики работников, чтобы обеспечить совместимость работы системы с внутренней моделью работника, описывающей его функции. Следовательно, уровень описания системы должен быть смещен с основанного на навыках на основанный на правилах и знаниях аспект функционирования человека, а для идентификации операторской модели системы должны использоваться соответствующие методы анализа когнитивных задач. Смежным вопросом при разработке HAS является проектирование средств передачи информации между человеком-оператором и компонентами автоматизированной системы как на физическом, так и на когнитивном уровнях. Такая передача информации должна быть совместима со способами передачи информации, используемыми на разных уровнях работы системы, т. е. визуальным, вербальным, тактильным или гибридным. Эта информационная совместимость гарантирует, что различные формы передачи информации потребуют минимальной несовместимости между средой и характером информации. Например, визуальный дисплей лучше всего подходит для передачи пространственной информации, тогда как слуховой ввод может использоваться для передачи текстовой информации.

Довольно часто человек-оператор разрабатывает внутреннюю модель, которая описывает работу и функции системы в соответствии с его или ее опытом, обучением и инструкциями в связи с данным типом человеко-машинного интерфейса. В свете этой реальности разработчики HAS должны попытаться встроить в машины (или другие искусственные системы) модель физических и когнитивных характеристик человека-оператора, то есть системный образ оператора (Hollnagel and Woods, 1983). . Разработчики HAS также должны учитывать уровень абстракции в описании системы, а также различные соответствующие категории поведения человека-оператора. Эти уровни абстракции для моделирования человеческого функционирования в рабочей среде следующие (Расмуссен, 1983): (1) физическая форма (анатомическая структура), (2) физические функции (физиологические функции), (3) обобщенные функции (психологические механизмы и когнитивные функции). и аффективные процессы), (4) абстрактные функции (обработка информации) и (5) функциональное назначение (ценностные структуры, мифы, религии, человеческие взаимодействия). Эти пять уровней должны учитываться разработчиками одновременно, чтобы обеспечить эффективную работу HAS.

Дизайн системного программного обеспечения

Поскольку компьютерное программное обеспечение является основным компонентом любой среды HAS, разработка программного обеспечения, включая проектирование, тестирование, эксплуатацию и модификацию, а также вопросы надежности программного обеспечения также должны учитываться на ранних стадиях разработки HAS. Таким образом, можно снизить стоимость обнаружения и устранения ошибок в программном обеспечении. Однако трудно оценить надежность человеческих компонентов HAS из-за ограничений нашей способности моделировать выполнение задач человеком, связанную с этим рабочую нагрузку и возможные ошибки. Чрезмерная или недостаточная умственная нагрузка может привести к информационной перегрузке и скуке, соответственно, и может привести к снижению работоспособности человека, что приведет к ошибкам и увеличению вероятности несчастных случаев. Разработчики HAS должны использовать адаптивные интерфейсы, использующие методы искусственного интеллекта, для решения этих проблем. В дополнение к совместимости человека и машины необходимо учитывать вопрос адаптации человека и машины друг к другу, чтобы снизить уровень стресса, который возникает, когда человеческие возможности могут быть превышены.

Из-за высокого уровня сложности многих гибридных автоматизированных систем выявление любых потенциальных опасностей, связанных с аппаратным обеспечением, программным обеспечением, операционными процедурами и взаимодействием человека и машины этих систем, становится критически важным для успеха усилий, направленных на снижение травматизма и повреждения оборудования. . Угрозы безопасности и здоровью, связанные со сложными гибридными автоматизированными системами, такими как компьютерно-интегрированные производственные технологии (CIM), безусловно, являются одним из наиболее важных аспектов проектирования и эксплуатации системы.

Проблемы безопасности системы

Гибридные автоматизированные среды с их значительным потенциалом неустойчивого поведения управляющего программного обеспечения в условиях системных возмущений создают риск аварий нового поколения. По мере того как гибридные автоматизированные системы становятся все более универсальными и сложными, системные помехи, в том числе проблемы с запуском и остановом, а также отклонения в управлении системой, могут значительно повысить вероятность серьезной опасности для людей-операторов. По иронии судьбы, во многих нештатных ситуациях операторы обычно полагаются на надлежащее функционирование автоматизированных подсистем безопасности, что может увеличить риск серьезных травм. Например, изучение аварий, связанных с неисправностями технических систем управления, показало, что около трети аварийных последовательностей включало вмешательство человека в контур управления нарушенной системы.

Поскольку традиционные меры безопасности не могут быть легко адаптированы к потребностям среды HAS, необходимо пересмотреть стратегии контроля травматизма и предотвращения несчастных случаев с учетом присущих этим системам характеристик. Например, в области передовых производственных технологий многие процессы характеризуются наличием значительных потоков энергии, которые не могут быть легко предвидены людьми-операторами. Более того, проблемы с безопасностью обычно возникают на интерфейсах между подсистемами или когда системные возмущения переходят от одной подсистемы к другой. Согласно Международной организации по стандартизации (ISO 1991), риски, связанные с опасностями, связанными с промышленной автоматизацией, различаются в зависимости от типов промышленных машин, включенных в конкретную производственную систему, и способов установки, программирования, эксплуатации и обслуживания системы. и отремонтировано. Например, сравнение несчастных случаев, связанных с роботами, в Швеции с другими типами несчастных случаев показало, что роботы могут быть наиболее опасными промышленными машинами, используемыми в передовой производственной промышленности. Расчетная частота несчастных случаев с промышленными роботами составляла одну серьезную аварию на 45 робото-лет, что выше, чем у промышленных прессов, которые, как сообщалось, составляли одну аварию на 50 машино-лет. Здесь следует отметить, что на промышленные прессы в Соединенных Штатах приходилось около 23% всех смертельных случаев, связанных с металлообрабатывающими станками, за период 1980–1985 гг., при этом механические прессы занимали первое место по соотношению тяжесть-частота несмертельных травм.

В области передовых производственных технологий существует множество движущихся частей, которые представляют опасность для рабочих, поскольку они сложным образом меняют свое положение вне поля зрения человека-оператора. Быстрое технологическое развитие компьютеризированного производства создало острую потребность в изучении влияния передовых производственных технологий на рабочих. Для выявления опасностей, вызванных различными компонентами такой среды ГАС, необходимо тщательно проанализировать прошлые аварии. К сожалению, несчастные случаи, связанные с использованием роботов, трудно отделить от сообщений о несчастных случаях, связанных с машинами, управляемыми людьми, и, следовательно, может быть высокий процент незарегистрированных несчастных случаев. Правила охраны труда и техники безопасности Японии гласят, что «промышленные роботы в настоящее время не имеют надежных средств безопасности, и рабочие не могут быть защищены от них, если их использование не регулируется». Например, результаты исследования, проведенного Министерством труда Японии (Sugimoto 1987) несчастных случаев, связанных с промышленными роботами на 190 обследованных фабриках (с 4,341 рабочим роботом), показали, что было 300 нарушений, связанных с роботами, из которых 37 случаев небезопасных действий привели к несчастным случаям, 9 несчастным случаям с травмами и 2 несчастным случаям со смертельным исходом. Результаты других исследований показывают, что компьютеризированная автоматизация не обязательно повышает общий уровень безопасности, поскольку аппаратное обеспечение системы не может быть обеспечено отказоустойчивостью только за счет функций безопасности в компьютерном программном обеспечении, а системные контроллеры не всегда отличаются высокой надежностью. Кроме того, в сложной HAS нельзя полагаться исключительно на датчики безопасности для обнаружения опасных условий и принятия соответствующих стратегий предотвращения опасностей.

Влияние автоматизации на здоровье человека

Как обсуждалось выше, действия рабочих во многих средах HAS в основном связаны с диспетчерским контролем, мониторингом, поддержкой и обслуживанием системы. Эти виды деятельности также можно разделить на четыре основные группы следующим образом: (1) задачи программирования, т. е. кодирование информации, которая направляет и управляет работой оборудования, (2) мониторинг компонентов производства и управления HAS, (3) техническое обслуживание компонентов HAS для предотвращения или устранять сбои в работе оборудования и (4) выполнять различные вспомогательные задачи и т. д. Многие недавние обзоры влияния HAS на самочувствие рабочих пришли к выводу, что, хотя использование HAS на производстве может устранить тяжелые и опасные задачи , работа в среде HAS может быть неудовлетворительной и напряженной для работников. Источники стресса включали постоянный мониторинг, необходимый во многих приложениях HAS, ограниченный объем выделенных действий, низкий уровень взаимодействия работников, разрешенный конструкцией системы, и угрозы безопасности, связанные с непредсказуемым и неконтролируемым характером оборудования. Несмотря на то, что некоторые работники, участвующие в программировании и техническом обслуживании, ощущают элементы трудностей, которые могут положительно сказаться на их самочувствии, эти последствия часто нивелируются сложным и требовательным характером этих действий, а также давлением. усилия руководства для скорейшего завершения этих мероприятий.

Хотя в некоторых средах HAS люди-операторы удалены от традиционных источников энергии (потока работы и движения машины) в нормальных условиях эксплуатации, многие задачи в автоматизированных системах по-прежнему необходимо выполнять в прямом контакте с другими источниками энергии. Поскольку количество различных компонентов HAS постоянно увеличивается, особое внимание должно уделяться комфорту и безопасности рабочих, а также разработке эффективных мер по контролю травматизма, особенно с учетом того факта, что рабочие больше не в состоянии идти в ногу с сложности и сложности таких систем.

Чтобы удовлетворить текущие потребности в области контроля травматизма и безопасности работников в компьютеризированных интегрированных производственных системах, Комитет ИСО по системам промышленной автоматизации предложил новый стандарт безопасности под названием «Безопасность интегрированных производственных систем» (1991 г.). Этот новый международный стандарт, разработанный с учетом особых опасностей, существующих в интегрированных производственных системах, включающих промышленные машины и сопутствующее оборудование, направлен на минимизацию возможности получения травм персоналом во время работы в интегрированной производственной системе или рядом с ней. Основные источники потенциальных опасностей для людей-операторов в CIM, определенные настоящим стандартом, показаны на рисунке 1.

Рисунок 1. Основной источник опасностей в автоматизированном производстве (CIM) (после ISO 1991)

Человеческие и системные ошибки

Как правило, опасности в HAS могут возникать из-за самой системы, из-за ее связи с другим оборудованием, присутствующим в физической среде, или из-за взаимодействия человеческого персонала с системой. Несчастный случай — это лишь один из нескольких результатов взаимодействия человека и машины, которые могут возникнуть в опасных условиях; несчастные случаи и повреждения случаются гораздо чаще (Zimolong and Duda, 1992). Возникновение ошибки может привести к одному из следующих последствий: (1) ошибка остается незамеченной, (2) система может компенсировать ошибку, (3) ошибка приводит к поломке машины и/или остановке системы или (4) ) ошибка приводит к аварии.

Поскольку не каждая человеческая ошибка, которая приводит к критическому происшествию, приводит к реальному происшествию, уместно проводить дальнейшее разграничение между категориями результатов следующим образом: (1) небезопасный инцидент (т. е. любое непреднамеренное происшествие, независимо от того, приводит ли оно к травме, повреждению или убыток), (2) несчастный случай (т. е. небезопасное событие, повлекшее за собой травмы, ущерб или убытки), (3) происшествие с ущербом (т. е. небезопасное событие, которое приводит только к некоторому материальному ущербу), (4) предаварийное происшествие или «промах» (т. е. небезопасное событие, при котором травмы, ущерб или потери удалось избежать с небольшим отрывом) и (5) наличие возможности аварийного происшествия (т. е. небезопасные события, которые могли привести к травмам, повреждению , либо убыток, но в силу обстоятельств не повлекший даже близкой аварии).

В HAS можно выделить три основных типа человеческих ошибок:

1. промахи и упущения, основанные на навыках
2. ошибки на основе правил
3. ошибки, основанные на знаниях.

Эта таксономия, разработанная Ризоном (1990), основана на модификации классификации человеческой деятельности Расмуссена «навыки-правила-знания», как описано выше. На уровне навыков человеческая деятельность управляется сохраненными шаблонами заранее запрограммированных инструкций, представленных в виде аналоговых структур в пространственно-временной области. Уровень, основанный на правилах, применим для решения знакомых проблем, в которых решения регулируются сохраненными правилами (называемыми «продукциями», поскольку к ним обращаются или они создаются по мере необходимости). Эти правила требуют постановки определенных диагнозов (или суждений) или принятия определенных мер по исправлению положения, если возникли определенные условия, требующие соответствующего реагирования. На этом уровне человеческие ошибки обычно связаны с неправильной классификацией ситуаций, что приводит либо к применению неправильного правила, либо к неправильному воспроизведению последующих суждений или процедур. Ошибки, основанные на знаниях, возникают в новых ситуациях, для которых действия необходимо планировать «онлайн» (в данный момент), используя сознательные аналитические процессы и накопленные знания. Ошибки на этом уровне возникают из-за ограниченности ресурсов и неполных или неправильных знаний.

Общие системы моделирования ошибок (GEMS), предложенные Reason (1990), в которых делается попытка локализовать источники основных типов человеческих ошибок, могут быть использованы для получения общей таксономии человеческого поведения в HAS. GEMS стремится объединить две отдельные области исследования ошибок: (1) промахи и упущения, при которых действия отклоняются от текущего намерения из-за сбоев выполнения и/или сбоев хранения, и (2) ошибки, при которых действия могут выполняться в соответствии с планом, но план недостаточен для достижения желаемого результата.

Оценка и предотвращение рисков в CIM

Согласно ISO (1991 г.), оценка риска в CIM должна выполняться таким образом, чтобы свести к минимуму все риски и служить основой для определения целей и мер безопасности при разработке программ или планов как для создания безопасной рабочей среды, так и для обеспечения а также безопасность и здоровье персонала. Например, производственные опасности в производственной среде HAS можно охарактеризовать следующим образом: (1) человеку-оператору может потребоваться войти в опасную зону во время устранения неполадок, выполнения задач обслуживания и технического обслуживания, (2) опасную зону трудно определить, воспринимать и контролировать, (3) работа может быть монотонной и (4) несчастные случаи, происходящие в автоматизированных производственных системах, часто бывают серьезными. Каждая идентифицированная опасность должна быть оценена на предмет связанного с ней риска, и должны быть определены и реализованы соответствующие меры безопасности для минимизации этого риска. Опасности также должны быть установлены в отношении всех следующих аспектов любого данного процесса: самого отдельного устройства; взаимодействие между отдельными единицами; рабочие разделы системы; и работу всей системы во всех предусмотренных рабочих режимах и условиях, включая условия, при которых обычные средства защиты приостанавливаются для таких операций, как программирование, проверка, поиск и устранение неисправностей, техническое обслуживание или ремонт.

Этап разработки стратегии безопасности ISO (1991) для CIM включает:

• спецификация пределов системных параметров
• применение стратегии безопасности
• выявление опасностей
• оценка сопутствующих рисков
• устранение опасностей или уменьшение рисков, насколько это практически возможно.

Спецификация безопасности системы должна включать:

• описание функций системы
• компоновка системы и/или модель
• результаты опроса, проведенного для изучения взаимодействия различных рабочих процессов и ручной деятельности
• анализ технологических последовательностей, включая ручное взаимодействие
• описание интерфейсов с конвейером или транспортными линиями
• технологические схемы
• планы фундамента
• планы снабжения и утилизации устройств
• определение места, необходимого для подачи и утилизации материала
• имеющиеся записи об авариях.

В соответствии с ISO (1991) все необходимые требования для обеспечения безопасной работы системы CIM необходимо учитывать при разработке процедур систематического планирования безопасности. Это включает в себя все защитные меры для эффективного снижения опасностей и требует:

• интеграция человеко-машинного интерфейса
• раннее определение положения работающих над системой (во времени и пространстве)
• заблаговременное рассмотрение способов сокращения изолированной работы
• учет экологических аспектов.

Процедура планирования безопасности должна охватывать, среди прочего, следующие вопросы безопасности CIM:

• Выбор режимов работы системы. Аппаратура управления должна иметь средства, по крайней мере, для следующих режимов работы: (1) нормальный или производственный режим (т. е. со всеми подключенными и действующими нормальными средствами защиты), (2) работа с отключенными некоторыми нормальными средствами защиты и (3) работа в какая система или дистанционное ручное инициирование опасных ситуаций предотвращается (например, в случае местного управления или отключения питания или механической блокировки опасных условий).
• Обучение, установка, ввод в эксплуатацию и функциональное тестирование. Когда персонал должен находиться в опасной зоне, в системе управления должны быть предусмотрены следующие меры безопасности: (1) удержание для запуска, (2) устройство включения, (3) пониженная скорость, (4) пониженная мощность и (5) ) подвижный аварийный останов.
• Безопасность при системном программировании, обслуживании и ремонте. Во время программирования только программист должен находиться в охраняемом пространстве. В системе должны быть предусмотрены процедуры осмотра и технического обслуживания, чтобы обеспечить непрерывную предполагаемую работу системы. Программа проверки и технического обслуживания должна учитывать рекомендации поставщика системы и поставщиков различных элементов систем. Едва ли нужно упоминать, что персонал, выполняющий техническое обслуживание или ремонт системы, должен быть обучен процедурам, необходимым для выполнения требуемых задач.
• Устранение неисправности. При необходимости устранения неисправности изнутри защищаемого помещения его следует производить после безопасного отключения (или, по возможности, после срабатывания механизма блокировки). Должны быть приняты дополнительные меры против ошибочного возникновения опасных ситуаций. Если при устранении неисправностей на участках системы или на машинах смежных систем или машин могут возникнуть опасности, то они также должны быть выведены из эксплуатации и защищены от неожиданного пуска. С помощью предупредительных и предупредительных знаков следует обратить внимание на устранение неисправностей в компонентах системы, которые невозможно полностью наблюдать.

Системный контроль помех

Во многих установках HAS, используемых в области производства с компьютерной интеграцией, операторы обычно необходимы для управления, программирования, технического обслуживания, предварительной настройки, обслуживания или устранения неполадок. Нарушения в системе приводят к ситуациям, требующим выхода рабочих в опасные зоны. В этом отношении можно предположить, что помехи остаются наиболее важной причиной вмешательства человека в CIM, поскольку системы чаще всего будут программироваться из-за пределов ограниченных зон. Одним из наиболее важных вопросов безопасности CIM является предотвращение помех, поскольку большинство рисков возникает на этапе устранения неполадок в системе. Предотвращение помех является общей целью как с точки зрения безопасности, так и экономической эффективности.

Возмущение в системе CIM — это состояние или функция системы, которая отклоняется от запланированного или желаемого состояния. Помимо производительности, помехи при работе CIM напрямую влияют на безопасность людей, участвующих в эксплуатации системы. Исследование, проведенное в Финляндии (Kuivanen, 1990), показало, что около половины сбоев в автоматизированном производстве снижают безопасность рабочих. Основными причинами нарушений были ошибки в конструкции системы (34%), отказы компонентов системы (31%), человеческий фактор (20%) и внешние факторы (15%). Большинство отказов машин было вызвано системой управления, а в системе управления большинство отказов произошло в датчиках. Эффективным способом повышения уровня безопасности установок CIM является уменьшение количества помех. Хотя действия человека в возмущенных системах предотвращают возникновение аварий в среде ГАС, они также способствуют им. Например, изучение аварий, связанных с неисправностями технических систем управления, показало, что около трети аварийных последовательностей включало вмешательство человека в контур управления нарушенной системы.

Основные вопросы исследования предотвращения нарушений CIM касаются (1) основных причин нарушений, (2) ненадежных компонентов и функций, (3) влияния нарушений на безопасность, (4) воздействия нарушений на функцию системы, ( 5) материальный ущерб и (6) ремонт. Безопасность HAS следует планировать на ранней стадии проектирования системы с должным учетом технологий, людей и организации, и она должна быть неотъемлемой частью общего процесса технического планирования HAS.

HAS Design: Будущие вызовы

Чтобы обеспечить максимальную отдачу от гибридных автоматизированных систем, как обсуждалось выше, необходимо гораздо более широкое видение развития системы, основанное на интеграции людей, организаций и технологий. Здесь следует применять три основных типа системной интеграции:

1. интеграция людей, обеспечивая эффективную связь между ними
2. интеграция человека и компьютера, путем разработки подходящих интерфейсов и взаимодействия между людьми и компьютерами
3. технологическая интеграция, обеспечивая эффективное взаимодействие и взаимодействие между машинами.

Минимальные требования к проектированию гибридных автоматизированных систем должны включать следующее: (1) гибкость, (2) динамическая адаптация, (3) повышенная скорость реагирования и (4) необходимость мотивировать людей и лучше использовать их навыки, суждения и опыт. . Вышеизложенное также требует, чтобы организационные структуры, методы работы и технологии HAS были разработаны, чтобы люди на всех уровнях системы могли адаптировать свои рабочие стратегии к разнообразным ситуациям управления системами. Следовательно, организации, методы работы и технологии HAS должны быть спроектированы и разработаны как открытые системы (Kidd 1994).

Открытая гибридная автоматизированная система (OHAS) — это система, которая получает входные данные и отправляет выходные данные в свою среду. Идею открытой системы можно применять не только к системным архитектурам и организационным структурам, но и к методам работы, интерфейсам человек-компьютер и отношениям между людьми и технологиями: можно упомянуть, например, системы планирования, системы управления и системы поддержки принятия решений. Открытая система также является адаптивной, когда она предоставляет людям большую степень свободы в определении режима работы системы. Например, в области передового производства требования открытой гибридной автоматизированной системы могут быть реализованы с помощью концепции человеко-компьютерное производство (ХИМ). С этой точки зрения, разработка технологии должна учитывать общую архитектуру системы HCIM, включая следующее: (1) рассмотрение сети групп, (2) структуру каждой группы, (3) взаимодействие между группами, (4) характер вспомогательного программного обеспечения и (5) потребности в технической связи и интеграции между вспомогательными программными модулями.

Адаптивная гибридная автоматизированная система, в отличие от закрытой системы, не ограничивает возможности человека-оператора. Роль разработчика HAS состоит в том, чтобы создать систему, которая удовлетворит личные предпочтения пользователя и позволит пользователям работать так, как они считают наиболее подходящим. Необходимым условием для разрешения ввода данных пользователем является разработка методологии адаптивного проектирования, то есть OHAS, которая позволяет использовать компьютерную технологию для ее реализации в процессе проектирования. Необходимость разработки методологии адаптивного проектирования является одним из неотложных требований для практической реализации концепции OHAS. Также необходимо разработать новый уровень адаптивной технологии диспетчерского управления человеком. Такая технология должна позволять человеку-оператору «видеть сквозь» невидимую иначе систему управления функционированием ГАС, например, путем применения интерактивной высокоскоростной видеосистемы в каждой точке управления и работы системы. Наконец, очень необходима методология разработки интеллектуальной и высокоадаптивной компьютерной поддержки человеческих ролей и функционирования человека в гибридных автоматизированных системах.

Назад