在過去幾年中，微處理器在安全技術領域發揮著越來越重要的作用。 由於整個計算機（即中央處理器、存儲器和外圍組件）現在都可以作為“單片機”的單個組件使用，微處理器技術不僅用於復雜的機器控制，而且用於相對簡單設計的安全保障（例如，光柵、雙手控制裝置和安全邊緣）。 控制這些系統的軟件包含一千到幾萬條單個命令，通常由數百個程序分支組成。 這些程序是實時運行的，大部分是用程序員的彙編語言編寫的。

在安全技術領域引入計算機控制系統的同時，所有大型技術設備不僅進行了昂貴的研發項目，而且還進行了旨在提高安全性的重大限制。 （這裡可以引用航空航天技術、軍事技術和原子能技術作為大規模應用的例子。）工業大規模生產的集體領域迄今僅以非常有限的方式得到處理。 這部分是因為工業機器設計的創新特徵的快速循環使得很難以非常有限的方式繼承這種知識，這些知識可能來自與大規模最終測試有關的研究項目安全設備。 這使得開發快速和低成本的評估程序成為迫切需要（Reinert 和 Reuss 1991）。

本文首先檢查計算機系統目前執行安全任務的機器和設施，使用主要發生在機器保障領域的事故示例來描述計算機在安全技術中發揮的特殊作用。 這些事故表明必須採取哪些預防措施，以便目前越來越廣泛使用的計算機控制的安全設備不會導致事故數量的增加。 本文的最後一節概述了一個過程，該過程將使即使是小型計算機系統也能以合理的費用在可接受的時間段內達到適當的技術安全水平。 最後一部分中指出的原則目前正被引入國際標準化程序，並將對計算機應用的所有安全技術領域產生影響。

在機器保障領域使用軟件和計算機的例子

以下四個例子清楚地表明，軟件和計算機目前越來越多地進入商業領域的安全相關應用。

個人緊急信號裝置通常由一個中央接收站和多個個人緊急信號裝置組成。 設備由現場工作人員自行攜帶。 如果這些單獨工作的人中的任何一個發現自己處於緊急情況下，他們可以使用該設備通過中央接收站的無線電信號觸發警報。 這種依賴於意志的警報觸發器也可以由內置於個人應急設備中的傳感器激活的獨立於意志的觸發機制來補充。 單個設備和中央接收站都經常由微型計算機控制。 可以想像，在緊急情況下，內置計算機的特定單一功能故障可能會導致無法觸發警報。 因此，必須採取預防措施及時發現並修復這種功能喪失。

今天用於印刷雜誌的印刷機是大型機器。 紙幅通常由單獨的機器以能夠無縫過渡到新紙捲的方式製備。 印刷的頁面由折疊機折疊，然後通過一系列進一步的機器進行加工。 這導致貨盤上裝滿了完全縫合的雜誌。 儘管此類設備是自動化的，但有兩點必須進行人工干預：(1) 紙張路徑的穿線，以及 (2) 清除旋轉輥上危險點處紙張撕裂造成的障礙物。 出於這個原因，在調整壓力機時，控制技術必須確保降低操作速度或路徑或時間限制的點動模式。 由於涉及復雜的控製程序，每個印刷站都必須配備自己的可編程邏輯控制器。 必須防止在防護柵打開時印刷廠控制中發生的任何故障導致停止的機器意外啟動或超過適當降低的速度運行。

在大型工廠和倉庫中，無人駕駛、自動引導的機器人車輛在特別標記的軌道上移動。 這些軌道可以隨時被人行走，或者材料和設備可能會不經意地留在軌道上，因為它們在結構上沒有與其他交通線路分開。 出於這個原因，必須使用某種防撞設備來確保車輛在與人或物體發生任何危險碰撞之前停下來。 在最近的應用中，碰撞預防是通過與安全保險槓結合使用的超聲波或激光掃描儀來實現的。 由於這些系統在計算機控制下工作，因此可以配置多個永久檢測區域，以便車輛可以根據人員所在的特定檢測區域修改其反應。 保護裝置的故障不得導致與人的危險碰撞。

切紙控制裝置 絞刀用於壓切厚紙垛。 它們由雙手控制裝置觸發。 每次切割後，用戶必須將手伸入機器的危險區域。 非物質防護裝置（通常是光柵）與雙手控制裝置和安全機器控制系統結合使用，以防止在切割操作期間進紙時受傷。 當今使用的幾乎所有更大、更現代的斷頭台都是由多通道微型計算機系統控制的。 雙手操作和光柵也必須保證安全運行。

計算機控制系統事故

在幾乎所有的工業應用領域，都有軟件和計算機事故的報導（Neumann 1994）。 在大多數情況下，計算機故障不會導致人身傷害。 在任何情況下，此類失敗只有在涉及公眾利益時才會公開。 這意味著與計算機和軟件相關的故障或事故中涉及人身傷害的案例在所有公開案例中所佔比例較高。 不幸的是，對於不會引起公眾強烈轟動的事故，其原因的調查強度與更突出的事故（通常是大型工廠中的事故）的強度完全相同。 出於這個原因，下面的示例參考了機器安全防護領域以外的計算機控制系統的四種典型故障或事故描述，用於建議在做出有關安全技術的判斷時必須考慮的因素。

硬件隨機故障導致的事故

以下事故是由硬件中的隨機故障集中和編程故障引起的：化工廠中的反應器過熱，於是安全閥打開，反應器中的內容物被排放到大氣中。 在收到變速箱油位過低的警告後不久，就發生了這一事故。 對事故的仔細調查表明，催化劑在反應器中引發反應後不久——因此反應器需要更多的冷卻——計算機根據齒輪箱中低油位的報告，凍結了所有在其控制下的幅度為固定值。 這使冷水流量保持在過低的水平，結果反應堆過熱。 進一步調查表明，低油位指示是由故障部件發出的。

該軟件已根據規範做出響應，觸發警報並修復所有操作變量。 這是事件發生前進行的 HAZOP（危害和可操作性分析）研究（Knowlton 1986）的結果，該研究要求在發生故障時不得修改所有受控變量。 由於程序員不熟悉該程序的細節，這一要求被解釋為受控執行器（在本例中為控制閥）不得修改； 沒有註意到溫度升高的可能性。 程序員沒有考慮到在收到錯誤信號後，系統可能會發現自己處於一種需要計算機主動干預以防止事故發生的動態情況。 此外，導致事故的情況不太可能在 HAZOP 研究中對其進行詳細分析（Levenson 1986）。 此示例提供了向第二類軟件和計算機事故原因的過渡。 這些是系統從一開始就存在的系統性故障，但僅在開發人員未考慮的某些非常具體的情況下才會出現。

操作失誤引發的事故

在機器人最終檢查期間的現場測試中，一名技術人員借用了相鄰機器人的卡帶並更換了另一個，但沒有通知他的同事他已經這樣做了。 回到工作場所後，這位同事插入了錯誤的磁帶。 由於他站在機器人旁邊，並期望它有一個特定的動作序列——這個序列由於交換的程序而不同——所以機器人和人之間發生了碰撞。 這個事故描述了操作故障的經典例子。 由於計算機控制的安全機制的應用越來越複雜，此類故障在故障和事故中的作用目前正在增加。

由硬件或軟件系統故障引起的事故

一枚帶有彈頭的魚雷是為了訓練目的從公海上的一艘軍艦上發射的。 由於驅動裝置出現故障，魚雷留在魚雷發射管中。 船長決定返回母港打撈魚雷。 在這艘船開始返航後不久，魚雷爆炸了。 對事故的分析表明，魚雷的開發人員不得不在魚雷中安裝一種機制，以防止魚雷在發射後返回發射台，從而摧毀發射它的船隻。 為此選擇的機制如下：在魚雷發射後，使用慣性導航系統進行檢查，看它的航向是否改變了 180°。 魚雷一感應到自己轉了180°，就立刻引爆了，據說是在離發射台安全距離的地方。 這種檢測機制是在魚雷沒有正確發射的情況下啟動的，結果魚雷在船改變航向 180° 後爆炸。 這是一個典型的因規格不符而發生事故的例子。 規範中要求魚雷在航向改變時不應摧毀自己的船隻的要求不夠準確； 預防措施因此被錯誤地編程。 該錯誤僅在特定情況下變得明顯，而程序員沒有考慮到這種可能性。

14 年 1993 月 320 日，漢莎航空公司的一架空客 A 1 在華沙著陸時墜毀（圖 767）。 對事故的仔細調查表明，在 1991 年勞達航空公司的一架波音 1991 飛機發生事故後，對機載計算機的著陸邏輯進行了修改，這是造成這次迫降的部分原因。 在 XNUMX 年的事故中發生的事情是推力偏轉，它轉移了部分發動機氣體以在著陸期間制動飛機，在飛機仍在空中時已經接合，從而迫使機器進入無法控制的俯衝狀態。 出於這個原因，推力偏轉的電子鎖定已內置到空客機器中。 只有在兩組起落架上的傳感器發出減震器在機輪著陸壓力下壓縮的信號後，該機制才允許推力偏轉生效。 根據不正確的信息，華沙飛機的飛行員預計會有強側風。

圖 1. 1993 年在華沙發生事故後的漢莎空中客車公司

出於這個原因，他們將機器稍微傾斜，空中客車只用右輪著陸，左軸承重量不足。 由於推力偏轉的電子鎖定，機載計算機在 XNUMX 秒的時間裡拒絕飛行員進行這樣的操作，儘管這種操作本可以讓飛機在不利的情況下安全著陸。 這起事故非常清楚地表明，如果不事先考慮其可能後果的範圍，對計算機系統的修改可能會導致新的危險情況。

下面的故障示例也說明了修改單個命令可能對計算機系統造成的災難性影響。 在化學測試中，血液中的酒精含量是使用預先從中離心出血球的清澈血清來確定的。 因此，血清的酒精含量比較稠的全血高（1.2 倍）。 出於這個原因，血清中的酒精值必須除以 1.2，才能確定法律和醫學上關鍵的千分率。 在 1984 年舉行的實驗室間測試中，將在不同研究機構使用血清進行的相同測試中確定的血液酒精值相互比較。 由於這只是一個比較問題，除以 1.2 的命令在實驗期間從其中一個機構的程序中刪除。 實驗室間測試結束後，此時程序中錯誤地引入了乘以 1.2 的命令。 結果，在 1,500 年 1984 月至 1985 年 1.0 月期間，計算出了大約 1.3 個不正確的千分率值。 這個錯誤對於血液酒精含量在千分之 1.3 到 XNUMX 之間的卡車司機的職業生涯至關重要，因為導致長時間沒收駕駛執照的法律處罰是 XNUMX 的價值的結果。

由操作壓力或環境壓力的影響引起的事故

由於在CNC（計算機數控）衝步沖床的有效區域收集廢物引起的干擾，用戶實施了“程序停止”。 當他試圖用手清除廢物時，機器的推桿開始移動，儘管已按程序停止，並嚴重傷害了用戶。 對事故的分析表明，這不是程序錯誤的問題。 無法重現意外啟動。 過去在同類型的其他機器上也觀察到類似的異常情況。 從這些似乎可以推斷出事故一定是由電磁干擾引起的。 日本報導了類似的工業機器人事故（Neumann 1987）。

2 年 18 月 1986 日，航海者 2 號太空探測器發生故障，更清楚地表明了環境壓力對計算機控制系統的影響。 在距離天王星最近的六天前，航海者 1987 號拍攝的照片上覆蓋著大片黑白線條。精確的分析表明，飛行數據子系統命令字中的一位導致了故障，觀察到圖片在探測器中被壓縮。 該位很可能是由於宇宙粒子的影響而在程序存儲器中被撞錯了位置。 僅在兩天后，使用能夠繞過故障記憶點的替換程序，來自探測器的壓縮照片的無差錯傳輸就實現了（Laeser、McLaughlin 和 Wolff XNUMX）。

所呈現的事故摘要

分析的事故表明，在使用簡單機電技術的條件下可能會忽略的某些風險在使用計算機時會變得更加重要。 計算機允許處理複雜的和特定情況的安全功能。 因此，所有安全功能的明確、無差錯、完整和可測試的規範變得尤為重要。 規範中的錯誤很難發現，並且經常是複雜系統中事故的原因。 通常引入可自由編程的控件，目的是能夠靈活快速地對不斷變化的市場做出反應。 然而，修改——尤其是在復雜系統中——會產生難以預見的副作用。 因此，所有修改都必須遵循嚴格正式的變更程序管理，其中將安全功能與與安全無關的部分系統明確分開，這將有助於使安全技術修改的後果易於調查。

計算機在低電量下工作。 因此，它們容易受到外部輻射源的干擾。 由於數以百萬計的單個信號的修改會導致故障，因此值得特別注意與計算機相關的電磁兼容性主題。

計算機控制系統的服務目前變得越來越複雜，因此也越來越不清楚。 因此，從安全技術的角度來看，用戶和配置軟件的軟件人體工程學變得越來越有趣。

沒有計算機系統是 100% 可測試的。 具有 32 個二進制輸入端口和 1,000 個不同軟件路徑的簡單控制機制需要 4.3 × 10¹² 進行全面檢查的測試。 以每秒執行和評估 100 個測試的速度計算，一個完整的測試需要 1,362 年。

改進計算機控制安全裝置的程序和措施

在過去 10 年內開發了程序，允許掌握與計算機相關的特定安全相關挑戰。 這些過程解決了本節中描述的計算機故障。 所描述的機器防護中的軟件和計算機示例以及所分析的事故表明，損壞的程度以及各種應用所涉及的風險是極其可變的。 因此很明顯，應該針對風險制定必要的預防措施，以改進安全技術中使用的計算機和軟件。

圖 2 顯示了一個定性程序，通過該程序可以獨立於損壞發生的程度和頻率來確定使用安全系統可獲得的必要風險降低（Bell 和 Reinert 1992）。 在“計算機控制系統事故”（上文）部分中分析的計算機系統故障類型可能與所謂的安全完整性等級（即用於降低風險的技術設施）相關。

圖 2. 風險確定的定性程序

圖 3 清楚地表明，在任何給定情況下，為減少軟件和計算機中的錯誤而採取的措施的有效性需要隨著風險的增加而提高（DIN 1994；IEC 1993）。

圖 3，獨立於風險的錯誤預防措施的有效性

對上述事故的分析表明，計算機控制的安全裝置失效不僅是由隨機組件故障引起的，而且是由程序員沒有考慮到的特定操作條件引起的。 在系統維護過程中進行的程序修改的不明顯後果構成了進一步的錯誤來源。 因此，由微處理器控制的安全系統可能會出現故障，儘管這些故障是在系統開發期間發生的，但只有在運行期間才會導致危險情況。 因此，在安全相關係統處於開發階段時，必須採取預防措施來防止此類故障。 這些所謂的故障避免措施不僅在概念階段必須採取，而且在開發、安裝和修改過程中也必須採取。 如果在此過程中發現並糾正某些故障，則可以避免它們 (DIN 1990)。

正如所描述的最後一個事故所表明的那樣，單個晶體管的擊穿可能會導致高度複雜的自動化設備出現技術故障。 由於每個單獨的電路都由數千個晶體管和其他組件組成，因此必須採取多種故障避免措施來識別運行中出現的故障並在計算機系統中啟動適當的反應。 圖 4 描述了可編程電子系統中的故障類型以及為避免和控制計算機系統中的故障而可能採取的預防措施示例（DIN 1990；IEC 1992）。

圖 4. 為控制和避免計算機系統錯誤而採取的預防措施示例

安全技術中可編程電子系統的可能性和前景

現代機器和工廠變得越來越複雜，必須在越來越短的時間內完成越來越全面的任務。 出於這個原因，自 1970 世紀 XNUMX 年代中期以來，計算機系統已經接管了幾乎所有的工業領域。 僅這種複雜性的增加就大大增加了改進此類系統中安全技術所涉及的成本。 儘管軟件和計算機對工作場所的安全提出了巨大挑戰，但它們也使在安全技術領域實施新的錯誤友好系統成為可能。

Ernst Jandl 的一首滑稽但富有啟發性的詩句將有助於解釋這個概念的含義 錯誤友好. “Lichtung：Manche meinen lechts und rinks kann man nicht velwechsern，werch ein Illtum”。 （“方言：許多人認為光和反射不能交換，真是個笑話。”）儘管交換了信件 r 和 l，這個短語很容易被一個正常的成年人理解。 即使英語流利程度不高的人也可以將其翻譯成英語。 然而，單靠一台翻譯計算機幾乎不可能完成這項任務。

這個例子表明，與語言計算機相比，人類可以以更容易出錯的方式做出反應。 這意味著人類和所有其他生物一樣，可以通過將失敗引向經驗來容忍失敗。 如果觀察當今使用的機器，就會發現大多數機器對用戶故障的懲罰不是意外，而是產量下降。 此屬性導致操縱或逃避保障措施。 現代計算機技術將系統置於工作安全的支配之下，這些系統可以智能地做出反應——也就是說，以一種改進的方式。 因此，此類系統使新型機器中的錯誤友好行為模式成為可能。 他們首先在錯誤操作時警告用戶，只有在這是避免事故的唯一方法時才關閉機器。 事故分析表明，該領域存在減少事故的巨大潛力（Reinert 和 Reuss 1991）。

上一頁