Gli sviluppi generali nella microelettronica e nella tecnologia dei sensori fanno sperare che un miglioramento della sicurezza sul lavoro possa essere raggiunto attraverso la disponibilità di rilevatori di presenza e avvicinamento affidabili, resistenti, a bassa manutenzione ed economici. Questo articolo descriverà la tecnologia dei sensori, le diverse procedure di rilevamento, le condizioni e le restrizioni applicabili all'uso dei sistemi di sensori e alcuni studi completati e lavori di standardizzazione in Germania.

Criteri del rilevatore di presenza

Lo sviluppo e la sperimentazione pratica dei rilevatori di presenza è una delle maggiori sfide future per gli sforzi tecnici per migliorare la sicurezza sul lavoro e la protezione del personale in generale. Rilevatori di presenza sono sensori che segnalano in modo affidabile e sicuro il vicino alla presenza o all'avvicinarsi di una persona. Inoltre, questo avviso deve verificarsi rapidamente in modo che l'azione evasiva, la frenata o l'arresto di una macchina ferma possano aver luogo prima che si verifichi il contatto previsto. Il fatto che le persone siano grandi o piccole, qualunque sia la loro postura o il modo in cui sono vestiti non dovrebbe avere alcun effetto sull'affidabilità del sensore. Inoltre, il sensore deve avere certezza di funzionamento ed essere robusto ed economico, in modo da poter essere utilizzato nelle condizioni più gravose, come nei cantieri e per applicazioni mobili, con una manutenzione minima. I sensori devono essere come un airbag in quanto esenti da manutenzione e sempre pronti. Data la riluttanza di alcuni utenti a mantenere quelle che potrebbero considerare apparecchiature non essenziali, i sensori potrebbero rimanere inutilizzati per anni. Un'altra caratteristica dei rilevatori di presenza, molto più probabile che venga richiesta, è che rilevano anche ostacoli diversi dall'essere umano e avvisano l'operatore in tempo per intraprendere un'azione difensiva, riducendo così i costi di riparazione e danni materiali. Questo è un motivo per installare rilevatori di presenza che non dovrebbero essere sottovalutati.

Applicazioni del rivelatore

Innumerevoli incidenti mortali e lesioni gravi che sembrano inevitabili, singoli atti del destino, possono essere evitati o ridotti al minimo a condizione che i rilevatori di presenza diventino più accettati come misura di prevenzione nel campo della sicurezza sul lavoro. Troppo spesso i giornali riportano questi incidenti: qui una persona è stata investita da un caricatore che si muoveva all'indietro, lì l'operatore non ha visto qualcuno che è stato travolto dalla ruota anteriore di un escavatore. I camion che si muovono all'indietro su strade, locali aziendali e cantieri sono causa di molti incidenti alle persone. Le aziende di oggi, completamente razionalizzate, non forniscono più copiloti o altre persone che facciano da guida all'autista che fa retromarcia. Questi esempi di incidenti in movimento possono essere facilmente estesi ad altre attrezzature mobili, come i carrelli elevatori. Tuttavia, l'uso di sensori è urgentemente necessario per prevenire gli incidenti che coinvolgono apparecchiature semimobili e puramente fisse. Un esempio sono le aree posteriori di grandi macchine caricatrici, che sono state identificate dal personale addetto alla sicurezza come aree potenzialmente pericolose che potrebbero essere migliorate attraverso l'uso di sensori poco costosi. Molte varianti di rilevatori di presenza possono essere adattate in modo innovativo ad altri veicoli e grandi apparecchiature mobili per proteggersi dai tipi di incidenti discussi in questo articolo, che generalmente causano danni estesi e lesioni gravi, se non mortali.

La tendenza alla diffusione di soluzioni innovative sembrerebbe promettere che i rilevatori di presenza diventeranno la tecnologia di sicurezza standard in altre applicazioni; tuttavia, questo non è il caso ovunque. La svolta, motivata da incidenti e danni materiali elevati, è prevista nel monitoraggio dietro furgoni e autocarri pesanti e per le aree più innovative delle "nuove tecnologie", le macchine robotiche mobili del futuro.

La variazione dei campi di applicazione dei rilevatori di presenza e la variabilità dei compiti, ad esempio tollerare oggetti (anche oggetti in movimento, in determinate condizioni) che appartengono a un campo di rilevamento e che non devono attivare un segnale, richiedono sensori in cui “ la tecnologia di valutazione "intelligente" supporta i meccanismi della funzione del sensore. Questa tecnologia, che è materia di sviluppo futuro, può essere elaborata da metodi attingendo al campo dell'intelligenza artificiale (Schreiber e Kuhn 1995). Ad oggi, un'universalità limitata ha fortemente limitato gli usi attuali dei sensori. Ci sono barriere fotoelettriche; barre luminose; tappetini di contatto; sensori infrarossi passivi; rilevatori di movimento a ultrasuoni e radar che utilizzano l'effetto Doppler; sensori che effettuano misurazioni del tempo trascorso di ultrasuoni, radar e impulsi luminosi; e scanner laser. Le normali telecamere collegate ai monitor non sono incluse in questo elenco perché non sono rilevatori di presenza. Tuttavia, sono incluse quelle telecamere che si attivano automaticamente quando rilevano la presenza di una persona.

Tecnologia

Oggi i problemi principali dei sensori sono (1) l'ottimizzazione dell'uso degli effetti fisici (infrarossi, luce, ultrasuoni, radar, ecc.) e (2) l'automonitoraggio. Gli scanner laser vengono sviluppati intensamente per essere utilizzati come strumenti di navigazione per robot mobili. Per questo, devono essere risolti due compiti, in parte diversi in linea di principio: la navigazione del robot e la protezione delle persone (e del materiale o delle attrezzature) presenti in modo che non vengano colpite, investite o afferrate (Freund, Dierks e Rossman 1993 ). I futuri robot mobili non possono mantenere la stessa filosofia di sicurezza della "separazione spaziale tra robot e persona" che viene rigorosamente applicata ai robot industriali stazionari di oggi. Ciò significa attribuire grande importanza al funzionamento affidabile del rilevatore di presenza da utilizzare.

L'uso delle “nuove tecnologie” è spesso legato a problemi di accettazione, e si può presumere che l'uso generalizzato di robot mobili in grado di muoversi e afferrare, tra le persone negli impianti, nelle aree di traffico pubblico, o anche nelle case o nelle aree ricreative , saranno accettati solo se dotati di rilevatori di presenza molto evoluti, sofisticati e affidabili. Gli incidenti spettacolari devono essere evitati a tutti i costi per evitare di esacerbare un possibile problema di accettazione. L'attuale livello di spesa per lo sviluppo di questo tipo di sensori di protezione occupazionale non si avvicina a tenere conto di questa considerazione. Per risparmiare molti costi, i rilevatori di presenza dovrebbero essere sviluppati e testati contemporaneamente ai robot mobili e ai sistemi di navigazione, non successivamente.

Per quanto riguarda i veicoli a motore, le questioni relative alla sicurezza hanno acquisito un'importanza crescente. L'innovativa sicurezza dei passeggeri nelle automobili comprende cinture di sicurezza a tre punti, seggiolini per bambini, airbag e il sistema antibloccaggio dei freni verificato da crash test seriali. Queste misure di sicurezza rappresentano una parte relativamente crescente dei costi di produzione. L'airbag laterale ei sistemi di sensori radar per misurare la distanza dall'auto che precede sono sviluppi evolutivi nella protezione dei passeggeri.

La sicurezza esterna dei veicoli a motore, ovvero la protezione di terzi, sta ricevendo una crescente attenzione. Recentemente è stata richiesta la protezione laterale, soprattutto per gli autocarri, per evitare a motociclisti, ciclisti e pedoni il pericolo di cadere sotto le ruote posteriori. Un prossimo passo logico sarebbe il monitoraggio dell'area dietro i veicoli di grandi dimensioni con rilevatori di presenza e l'installazione di dispositivi di segnalazione dell'area posteriore. Ciò avrebbe l'effetto collaterale positivo di fornire i finanziamenti necessari per sviluppare, testare e rendere disponibili sensori dalle massime prestazioni, automonitorati, esenti da manutenzione e funzionanti in modo affidabile, economici per scopi di sicurezza sul lavoro. Il processo di prova che accompagnerebbe l'ampia implementazione di sensori o sistemi di sensori faciliterebbe considerevolmente l'innovazione in altri settori, come pale meccaniche, caricatori pesanti e altre grandi macchine mobili che effettuano il backup fino alla metà del tempo durante il loro funzionamento. Il processo evolutivo dai robot fissi ai robot mobili è un ulteriore percorso di sviluppo per i rilevatori di presenza. Ad esempio, si potrebbero apportare miglioramenti ai sensori attualmente utilizzati sui robot mobili per la movimentazione di materiali o sui "trattori da fabbrica senza conducente", che seguono percorsi fissi e quindi hanno requisiti di sicurezza relativamente bassi. L'uso di rilevatori di presenza è il passo logico successivo per migliorare la sicurezza nel settore del trasporto di materiali e passeggeri.

Procedure di rilevamento

Vari principi fisici, disponibili in connessione con metodi elettronici di misurazione e automonitoraggio e, in una certa misura, procedure di calcolo ad alte prestazioni, possono essere utilizzati per valutare e risolvere i compiti di cui sopra. Il funzionamento apparentemente senza sforzo e sicuro di macchine automatiche (robot) così comuni nei film di fantascienza, sarà probabilmente realizzato nel mondo reale attraverso l'uso di tecniche di imaging e algoritmi di riconoscimento di schemi ad alte prestazioni in combinazione con metodi di misurazione della distanza analoghi a quelli utilizzato dai laser scanner. Bisogna riconoscere la situazione paradossale che tutto ciò che sembra semplice per le persone è difficile per gli automi. Ad esempio, un compito difficile come un'eccellente partita a scacchi (che richiede l'attività del proencefalo) può essere simulato ed eseguito più facilmente da macchine automatizzate rispetto a un compito semplice come camminare eretti o eseguire la coordinazione occhio-mano e altri movimenti (mediata da il mesencefalo e il rombencefalo). Di seguito sono descritti alcuni di questi principi, metodi e procedure applicabili alle applicazioni dei sensori. Oltre a queste, esiste un gran numero di procedure speciali per compiti molto speciali che funzionano in parte con una combinazione di vari tipi di effetti fisici.

Barre e barriere fotoelettriche. Tra i primi rilevatori di presenza c'erano le barriere fotoelettriche e le sbarre. Hanno una geometria di monitoraggio piatta; cioè chi ha superato la barriera non verrà più rilevato. La mano di un operatore o la presenza di strumenti o parti tenute in mano da un operatore, ad esempio, possono essere rilevate in modo rapido e affidabile con questi dispositivi. Offrono un importante contributo alla sicurezza sul lavoro per le macchine (come presse e punzonatrici) che richiedono l'inserimento manuale del materiale. L'affidabilità deve essere statisticamente molto elevata, perché quando la mano raggiunge solo due o tre volte al minuto, in pochi anni vengono eseguite circa un milione di operazioni. L'autocontrollo reciproco dei componenti emettitore e ricevente è stato sviluppato a un livello tecnico così elevato da rappresentare uno standard per tutte le altre procedure di rilevamento della presenza.

Tappetini di contatto (tappeti di commutazione). Esistono tipi di tappeti e pavimenti di contatto elettrici e pneumatici sia passivi che attivi (a pompa), inizialmente utilizzati in gran numero nelle funzioni di servizio (apriporta), fino a quando non sono stati sostituiti dai rilevatori di movimento. Ulteriore sviluppo si evolve con l'uso di rilevatori di presenza in tutti i tipi di zone pericolose. Ad esempio, lo sviluppo della produzione automatizzata con un cambiamento nella funzione del lavoratore - dall'azionamento della macchina al monitoraggio rigoroso del suo funzionamento - ha prodotto una corrispondente domanda di rivelatori appropriati. La standardizzazione di questo utilizzo è in fase avanzata (DIN 1995a) e limitazioni speciali (layout, dimensioni, zone "morte" massime consentite) hanno reso necessario lo sviluppo di competenze per l'installazione in quest'area di utilizzo.

Interessanti possibili usi dei tappetini di contatto sorgono in combinazione con sistemi robotici multipli controllati da computer. Un operatore commuta uno o due elementi in modo che il rilevatore di presenza rilevi la sua posizione esatta e informi il computer, che gestisce i sistemi di controllo del robot con un sistema anticollisione integrato. In un test avanzato dall'istituto federale tedesco per la sicurezza (BAU), sotto l'area di lavoro del braccio del robot è stato costruito a tale scopo un pavimento di tappetino di contatto, costituito da piccoli tappetini per interruttori elettrici (Freund, Dierks e Rossman 1993). Questo rilevatore di presenza aveva la forma di una scacchiera. Il campo del tappetino rispettivamente attivato comunicava al computer la posizione dell'operatore (figura 1) e quando l'operatore si avvicinava troppo al robot, si allontanava. Senza il rilevatore di presenza, il sistema robotico non sarebbe in grado di rilevare la posizione dell'operatore e quindi l'operatore non potrebbe essere protetto.

Figura 1. Una persona (a destra) e due robot in corpi avvolgenti computerizzati

Riflettori (sensori di movimento e rilevatori di presenza). Per quanto meritevoli possano essere i sensori fin qui discussi, non sono rilevatori di presenza in senso lato. La loro idoneità, principalmente per motivi di sicurezza sul lavoro, per veicoli di grandi dimensioni e grandi attrezzature mobili presuppone due caratteristiche importanti: (1) la capacità di monitorare un'area da una posizione e (2) il funzionamento senza errori senza la necessità di misure aggiuntive su la parte di, ad esempio, l'uso di dispositivi riflettenti. Rilevare la presenza di una persona che entra nell'area monitorata e rimanere fermi fino a quando questa persona non se ne è andata implica anche la necessità di rilevare una persona assolutamente immobile. Questo distingue i cosiddetti sensori di movimento dai rilevatori di presenza, almeno in connessione con apparecchiature mobili; i sensori di movimento vengono quasi sempre attivati ​​quando il veicolo viene messo in movimento.

Sensori di movimento. I due tipi fondamentali di sensori di movimento sono: (1) "sensori a infrarossi passivi" (PIRS), che reagiscono alla minima variazione del raggio infrarosso nell'area monitorata (il raggio più piccolo rilevabile è di circa 10^-9 W con un intervallo di lunghezze d'onda da circa 7 a 20 μm); e (2) sensori a ultrasuoni ea microonde che utilizzano il principio Doppler, che determina le caratteristiche del movimento di un oggetto in base ai cambiamenti di frequenza. Ad esempio, l'effetto Doppler aumenta la frequenza del clacson di una locomotiva per un osservatore quando si avvicina e riduce la frequenza quando la locomotiva si allontana. L'effetto Doppler rende possibile la costruzione di sensori di avvicinamento relativamente semplici, poiché il ricevitore deve solo monitorare la frequenza del segnale delle bande di frequenza vicine per l'aspetto della frequenza Doppler.

A metà degli anni '1970 l'uso di rilevatori di movimento divenne prevalente nelle applicazioni di funzioni di servizio come apriporta, sicurezza antifurto e protezione di oggetti. Per l'uso stazionario, il rilevamento di una persona in avvicinamento verso un punto pericoloso era sufficiente per dare un avviso tempestivo o per spegnere una macchina. Questa è stata la base per studiare l'idoneità dei rilevatori di movimento per il loro utilizzo nella sicurezza sul lavoro, in particolare mediante PIRS (Mester et al. 1980). Poiché una persona vestita ha generalmente una temperatura più alta rispetto all'area circostante (testa 34°C, mani 31°C), rilevare una persona in avvicinamento è un po' più facile che rilevare oggetti inanimati. In misura limitata, le parti della macchina possono muoversi nell'area monitorata senza attivare il rilevatore.

Il metodo passivo (senza trasmettitore) presenta vantaggi e svantaggi. Il vantaggio è che un PIRS non aggiunge problemi di rumore e smog elettrico. Per la sicurezza contro i furti e la protezione degli oggetti, è particolarmente importante che il rilevatore non sia facile da trovare. Un sensore che è puramente un ricevitore, tuttavia, difficilmente può monitorare la propria efficacia, che è essenziale per la sicurezza sul lavoro. Un metodo per superare questo inconveniente consisteva nel testare piccoli emettitori di infrarossi modulati (da 5 a 20 Hz) installati nell'area monitorata e che non attivavano il sensore, ma i cui raggi venivano registrati con un'amplificazione elettronica fissa impostata sulla frequenza di modulazione. Questa modifica lo ha trasformato da un sensore "passivo" in un sensore "attivo". In questo modo è stato possibile verificare anche l'accuratezza geometrica dell'area monitorata. Gli specchi possono avere punti ciechi e la direzione di un sensore passivo può essere deviata dall'attività brusca in una pianta. La Figura 2 mostra un layout di prova con un PIRS con una geometria monitorata sotto forma di un mantello piramidale. A causa della loro grande portata, i sensori a infrarossi passivi vengono installati, ad esempio, nei passaggi delle aree di stoccaggio a scaffale.

Figura 2. Sensore a infrarossi passivi come rilevatore di avvicinamento in un'area pericolosa

Nel complesso, i test hanno dimostrato che i rilevatori di movimento non sono adatti alla sicurezza sul lavoro. Il pavimento di un museo notturno non può essere paragonato alle zone pericolose di un posto di lavoro.

Rivelatori ad ultrasuoni, radar e ad impulsi di luce. I sensori che utilizzano il principio impulso/eco, ovvero misurazioni del tempo trascorso di ultrasuoni, radar o impulsi luminosi, hanno un grande potenziale come rilevatori di presenza. Con gli scanner laser, gli impulsi luminosi possono scorrere in rapida successione (di solito in modo rotatorio), ad esempio orizzontalmente, e con l'aiuto di un computer si può ottenere un profilo di distanza degli oggetti su un piano che riflette la luce. Se, ad esempio, non si desidera solo una singola linea, ma l'insieme di ciò che si trova davanti al robot mobile nell'area fino a un'altezza di 2 metri, è necessario elaborare grandi quantità di dati per rappresentare l'area circostante. Un futuro rilevatore di presenza "ideale" consisterà in una combinazione dei seguenti due processi:

1. Verrà impiegato un processo di riconoscimento del modello, costituito da una fotocamera e un computer. Quest'ultima può anche essere una “rete neuronale”.
2. È inoltre necessario un processo di scansione laser per misurare le distanze; questo prende un rilevamento in uno spazio tridimensionale da un numero di punti individuali selezionati dal processo di riconoscimento del modello, stabilito per ottenere la distanza e il movimento in base alla velocità e alla direzione.

La Figura 3 mostra, dal progetto BAU precedentemente citato (Freund, Dierks e Rossman 1993), l'uso di uno scanner laser su un robot mobile che assume anche compiti di navigazione (tramite un raggio di rilevamento della direzione) e protezione dalle collisioni per oggetti nelle immediate vicinanze vicinanze (tramite un raggio di misurazione a terra per il rilevamento della presenza). Date queste caratteristiche, il robot mobile ha la capacità di guida libera automatizzata attiva (vale a dire, la capacità di guidare intorno agli ostacoli). Tecnicamente, ciò si ottiene utilizzando l'angolo di rotazione dello scanner di 45° verso la parte posteriore su entrambi i lati (a babordo ea tribordo del robot) oltre all'angolo di 180° verso la parte anteriore. Questi raggi sono collegati con uno specchio speciale che funge da barriera fotoelettrica sul pavimento davanti al robot mobile (fornendo una linea di visione a terra). Se da lì proviene un riflesso laser, il robot si ferma. Mentre sul mercato sono disponibili scanner laser e luminosi certificati per l'uso sulla sicurezza sul lavoro, questi rilevatori di presenza hanno un grande potenziale di ulteriore sviluppo.

Figura 3. Robot mobile con scanner laser per la navigazione e il rilevamento della presenza

I sensori a ultrasuoni e radar, che utilizzano il tempo trascorso dal segnale alla risposta per determinare la distanza, sono meno impegnativi dal punto di vista tecnico e quindi possono essere prodotti in modo più economico. L'area del sensore è a forma di mazza e presenta una o più mazze laterali più piccole, disposte simmetricamente. La velocità di diffusione del segnale (suono: 330 m/s; onda elettromagnetica: 300,000 km/s) determina la velocità richiesta dell'elettronica utilizzata.

Dispositivi di segnalazione dell'area posteriore. All'Esposizione di Hannover del 1985, BAU ha mostrato i risultati di un primo progetto sull'uso di sensori ad ultrasuoni per la messa in sicurezza dell'area retrostante i veicoli di grandi dimensioni (Langer e Kurfürst 1985). Un modello a grandezza naturale di una testa sensore realizzata con sensori Polaroid™ è stato installato sulla parete posteriore di un camion di rifornimento. La figura 4 ne mostra schematicamente il funzionamento. Il grande diametro di questo sensore produce aree misurate a forma di clava a lungo raggio con angoli relativamente piccoli (circa 18°), disposte l'una accanto all'altra e impostate su diverse portate massime del segnale. In pratica permette di impostare qualsiasi geometria monitorata desiderata, che viene scansionata dai sensori circa quattro volte al secondo per la presenza o l'ingresso di persone. Altri sistemi di avviso di area posteriore dimostrati avevano diversi sensori paralleli disposti in serie.

Figura 4. Disposizione della testa di misurazione e dell'area monitorata sul lato posteriore di un camion

Questa vivida dimostrazione è stata un grande successo alla mostra. Ha dimostrato che la messa in sicurezza della zona posteriore di veicoli e attrezzature di grandi dimensioni viene studiata in molti luoghi, ad esempio da comitati specializzati delle associazioni di categoria industriale (Berufsgenossenschaften), gli assicuratori municipali contro gli infortuni (responsabili dei veicoli municipali), i funzionari statali di controllo dell'industria e i produttori di sensori, che avevano pensato più in termini di automobili come veicoli di servizio (nel senso di concentrarsi sui sistemi di parcheggio per proteggersi da danni alla carrozzeria). Si è formato spontaneamente un comitato ad hoc, tratto dai gruppi per la promozione dei dispositivi di segnalazione di retromarcia, che ha avuto come primo compito la redazione di un elenco di requisiti dal punto di vista della sicurezza sul lavoro. Sono passati dieci anni durante i quali molto è stato elaborato nel monitoraggio dell'area posteriore, forse il compito più importante dei rilevatori di presenza; ma manca ancora la grande svolta.

Molti progetti sono stati condotti con sensori a ultrasuoni, ad esempio su gru per lo smistamento del legno tondo, pale idrauliche, veicoli comunali speciali e altri veicoli utilitari, nonché su carrelli elevatori e caricatori (Schreiber 1990). I dispositivi di segnalazione dell'area posteriore sono particolarmente importanti per i macchinari di grandi dimensioni che effettuano il backup per la maggior parte del tempo. I rilevatori di presenza a ultrasuoni vengono utilizzati, ad esempio, per la protezione di veicoli specializzati senza conducente come i robot per la movimentazione dei materiali. Rispetto ai paracolpi in gomma, questi sensori hanno un'area di rilevamento maggiore che prevede la frenata prima del contatto tra la macchina e un oggetto. I corrispondenti sensori per automobili sono sviluppi appropriati e comportano requisiti notevolmente meno severi.

Nel frattempo, il Comitato per le norme tecniche sui sistemi di trasporto della DIN ha elaborato la norma 75031, "Dispositivi di rilevamento degli ostacoli durante la retromarcia" (DIN 1995b). I requisiti ei test sono stati fissati per due intervalli: 1.8 m per i camion di rifornimento e 3.0 m, un'area di avvertimento aggiuntiva, per i camion più grandi. L'area monitorata viene definita attraverso il riconoscimento di corpi cilindrici di prova. La portata di 3 m rappresenta anche il limite di ciò che è attualmente tecnicamente possibile, in quanto i sensori a ultrasuoni devono avere membrane metalliche chiuse, date le loro difficili condizioni di lavoro. I requisiti per l'automonitoraggio del sistema di sensori vengono definiti, poiché la geometria monitorata richiesta può essere realizzata solo con un sistema di tre o più sensori. La Figura 5 mostra un dispositivo di avvertimento di area posteriore costituito da tre sensori a ultrasuoni (Microsonic GmbH 1996). Lo stesso vale per il dispositivo di notifica nella cabina di guida e il tipo di segnale di avvertimento. I contenuti della norma DIN 75031 sono anche esposti nel rapporto tecnico internazionale ISO TR 12155, "Veicoli commerciali—Dispositivo di rilevamento degli ostacoli durante la retromarcia" (ISO 1994). Diversi produttori di sensori hanno sviluppato prototipi conformi a questo standard.

Figura 5. Autocarro di medie dimensioni dotato di un dispositivo di avviso di zona posteriore (foto Microsonic).

Conclusione

Dall'inizio degli anni '1970, diverse istituzioni e produttori di sensori hanno lavorato per sviluppare e stabilire "rilevatori di presenza". Nell'applicazione speciale dei "dispositivi di avviso di retromarcia" ci sono la norma DIN 75031 e il rapporto ISO TR 12155. Attualmente Deutsche Post AG sta conducendo un importante test. Diversi produttori di sensori hanno dotato ciascuno cinque autocarri di medie dimensioni di tali dispositivi. Un esito positivo di questo test è assolutamente nell'interesse della sicurezza sul lavoro. Come è stato sottolineato all'inizio, i rilevatori di presenza nel numero richiesto rappresentano una grande sfida per la tecnologia di sicurezza nei numerosi campi di applicazione citati. Devono quindi essere realizzabili a basso costo se si vogliono relegare al passato danni ad attrezzature, macchinari e materiali e, soprattutto, infortuni alle persone, spesso molto gravi.

Di ritorno

I dispositivi di comando ei dispositivi utilizzati per il sezionamento e la commutazione devono sempre essere discussi in relazione a sistemi tecnici, termine utilizzato in questo articolo per includere macchine, impianti e attrezzature. Ogni sistema tecnico assolve a un compito pratico specifico e assegnato. Affinché questo compito pratico sia realizzabile o addirittura possibile in condizioni di sicurezza, sono necessari dispositivi di controllo e commutazione di sicurezza adeguati. Tali dispositivi vengono utilizzati per avviare il controllo, interrompere o ritardare la corrente e/o gli impulsi di energie elettriche, idrauliche, pneumatiche ed anche potenziali.

Isolamento e Riduzione Energetica

I dispositivi di isolamento vengono utilizzati per isolare l'energia scollegando la linea di alimentazione tra la fonte di energia e l'impianto tecnico. Il dispositivo di sezionamento deve normalmente comportare un'effettiva interruzione dell'alimentazione elettrica univocamente determinabile. L'interruzione dell'alimentazione elettrica dovrebbe inoltre essere sempre abbinata alla riduzione dell'energia immagazzinata in tutte le parti dell'impianto tecnico. Se l'impianto tecnico è alimentato da più fonti di energia, tutte queste linee di alimentazione devono poter essere isolate in modo affidabile. Le persone addestrate a gestire il tipo di energia pertinente e che lavorano all'estremità energetica del sistema tecnico utilizzano dispositivi di isolamento per proteggersi dai pericoli dell'energia. Per motivi di sicurezza, queste persone verificheranno sempre che non rimanga energia potenzialmente pericolosa nell'impianto tecnico, ad esempio accertando l'assenza di potenziale elettrico nel caso di energia elettrica. La manipolazione senza rischi di determinati dispositivi di isolamento è possibile solo per specialisti qualificati; in tali casi il dispositivo di sezionamento deve essere reso inaccessibile alle persone non autorizzate. (Vedi figura 1.)

Figura 1. Principi dei dispositivi di isolamento elettrico e pneumatico

L'interruttore principale

Un dispositivo di manovra generale disconnette l'impianto tecnico dalla rete di alimentazione. A differenza del dispositivo di sezionamento, può essere manovrato senza pericoli anche da “specialisti non energetici”. Il dispositivo interruttore generale serve per disinserire impianti tecnici in un dato momento non utilizzati qualora, ad esempio, il loro funzionamento sia ostacolato da terzi non autorizzati. Viene anche utilizzato per effettuare una disconnessione per scopi quali manutenzione, riparazione di malfunzionamenti, pulizia, ripristino e rimontaggio, a condizione che tale lavoro possa essere eseguito senza energia nel sistema. Naturalmente, quando un dispositivo master-switch possiede anche le caratteristiche di un dispositivo di sezionamento, può anche assumerne e/o condividerne la funzione. (Vedi figura 2.)

Figura 2. Illustrazione esemplificativa di dispositivi di commutazione generale elettrici e pneumatici

Dispositivo di disconnessione di sicurezza

Un dispositivo di disconnessione di sicurezza non disconnette l'intero sistema tecnico dalla fonte di energia; piuttosto, rimuove energia dalle parti del sistema critiche per un particolare sottosistema operativo. Interventi di breve durata possono essere designati per sottosistemi operativi, ad esempio per l'installazione o il ripristino/rimontaggio del sistema, per la riparazione di malfunzionamenti, per la pulizia regolare e per i movimenti e le sequenze di funzioni essenziali e designate richieste durante il corso di set-up, reset/refitting o test run. In questi casi, attrezzature e impianti di produzione complessi non possono essere semplicemente spenti con un interruttore principale, poiché l'intero sistema tecnico non potrebbe riavviarsi da dove si era interrotto dopo la riparazione di un malfunzionamento. Inoltre, il dispositivo master-switch è raramente collocato, negli impianti tecnici più estesi, nel luogo in cui deve essere effettuato l'intervento. Pertanto, il dispositivo di disconnessione di sicurezza deve soddisfare una serie di requisiti, come i seguenti:

• Interrompe il flusso di energia in modo affidabile e in modo tale che movimenti o processi pericolosi non vengano attivati ​​da segnali di controllo inseriti o generati erroneamente.
• Viene installato proprio dove devono essere effettuate interruzioni nelle aree pericolose dei sottosistemi operativi dell'impianto tecnico. Se necessario, l'installazione può avvenire in più luoghi (ad esempio su più piani, in più stanze, o in vari punti di accesso su macchinari o attrezzature).
• Il suo dispositivo di controllo ha una posizione "off" chiaramente contrassegnata che si registra solo una volta dopo che il flusso di energia è stato interrotto in modo affidabile.
• Una volta in posizione "off", il suo dispositivo di controllo può essere protetto contro il riavvio non autorizzato (a) se le aree di pericolo in questione non possono essere sorvegliate in modo affidabile dall'area di controllo e (b) se le persone che si trovano nell'area di pericolo non possono vedere esse stesse il dispositivo di controllo prontamente e costantemente, o (c) se il lock-out/tag-out è richiesto dal regolamento o dalle procedure organizzative.
• Dovrebbe disconnettere solo una singola unità funzionale di un sistema tecnico esteso, se altre unità funzionali sono in grado di continuare a lavorare da sole senza pericolo per chi interviene.

Se il dispositivo di manovra principale utilizzato in un dato impianto tecnico è in grado di soddisfare tutti i requisiti di un dispositivo di sezionamento di sicurezza, può anche assumere questa funzione. Ma questo sarà naturalmente un espediente affidabile solo in sistemi tecnici molto semplici. (Vedi figura 3.)

Figura 3. Illustrazione dei principi elementari di un dispositivo di disconnessione di sicurezza

Dispositivi di controllo per sottosistemi operativi

Gli alimentatori consentono di implementare e controllare in sicurezza i movimenti e le sequenze funzionali necessarie per i sottosistemi operativi del sistema tecnico. Potrebbero essere necessari dispositivi di controllo per i sottosistemi operativi per la configurazione (quando devono essere eseguite le prove di funzionamento); per la regolazione (quando devono essere riparati malfunzionamenti nel funzionamento del sistema o quando devono essere eliminati i blocchi); o scopi di formazione (operazioni dimostrative). In tali casi, il normale funzionamento del sistema non può essere semplicemente ripristinato, in quanto la persona che interviene sarebbe messa in pericolo da movimenti e processi innescati da segnali di controllo erroneamente immessi o erroneamente generati. Un alimentatore per sottosistemi operativi deve essere conforme ai seguenti requisiti:

• Dovrebbe consentire l'esecuzione sicura dei movimenti e dei processi richiesti per i sottosistemi operativi del sistema tecnico. Ad esempio, alcuni movimenti verranno eseguiti a velocità ridotte, gradualmente oa livelli di potenza inferiori (a seconda di quanto appropriato), e i processi interrotti immediatamente, di norma, se il pannello di controllo non è più presidiato.
• I suoi quadri di comando devono essere posizionati in zone dove il loro funzionamento non metta in pericolo l'operatore e da cui siano completamente visibili i processi controllati.
• Se in un unico luogo sono presenti più pannelli di controllo che controllano vari processi, questi devono essere chiaramente contrassegnati e disposti in modo distinto e comprensibile.
• L'unità di controllo per i sottosistemi operativi dovrebbe entrare in funzione solo quando il normale funzionamento è stato disinserito in modo affidabile; cioè, deve essere garantito che nessun comando di controllo possa emettere efficacemente dal normale funzionamento e scavalcare l'unità di controllo.
• L'uso non autorizzato dell'unità di alimentazione per i sottosistemi operativi dovrebbe essere impedito, ad esempio, richiedendo l'uso di una chiave o di un codice speciale per abilitare la funzione in questione. (Vedi figura 4.)

Figura 4. Dispositivi di azionamento negli alimentatori per sottosistemi operativi mobili e fissi

L'interruttore di emergenza

Gli interruttori di emergenza sono necessari laddove il normale funzionamento dei sistemi tecnici potrebbe comportare pericoli che né un'appropriata progettazione del sistema né l'adozione di adeguate precauzioni di sicurezza sono in grado di prevenire. Nei sottosistemi operativi, l'interruttore di emergenza fa spesso parte dell'ingranaggio di controllo del sottosistema operativo. Se azionato in caso di pericolo, l'interruttore di emergenza implementa processi che riportano il sistema tecnico in uno stato operativo sicuro il più rapidamente possibile. Per quanto riguarda le priorità di sicurezza, la protezione delle persone è di primaria importanza; la prevenzione del danno materiale è secondaria, a meno che quest'ultima non sia suscettibile di mettere in pericolo anche le persone. L'interruttore di emergenza deve soddisfare i seguenti requisiti:

• Deve portare il più rapidamente possibile una condizione operativa sicura dell'impianto tecnico.
• Il suo pannello di controllo deve essere facilmente riconoscibile e posizionato e progettato in modo tale da poter essere azionato senza difficoltà dalle persone in pericolo e può essere raggiunto anche da altri che rispondono all'emergenza.
• I processi di emergenza che innesca non devono comportare nuovi pericoli; ad esempio, non devono rilasciare dispositivi di bloccaggio o scollegare dispositivi di ritenuta magnetici o bloccare dispositivi di sicurezza.
• Dopo l'attivazione di un processo di commutazione di emergenza, il sistema tecnico non deve poter essere riavviato automaticamente mediante il ripristino del pannello di controllo dell'interruttore di emergenza. Piuttosto, deve essere richiesta l'immissione consapevole di un nuovo comando di controllo della funzione. (Vedi figura 5.)

Figura 5. Illustrazione dei principi dei pannelli di controllo negli interruttori di emergenza

Dispositivo di controllo dell'interruttore di funzione

I dispositivi di controllo dell'interruttore di funzione vengono utilizzati per accendere il sistema tecnico per il normale funzionamento e per avviare, eseguire e interrompere i movimenti e i processi previsti per il normale funzionamento. Il dispositivo di controllo dell'interruttore di funzione viene utilizzato esclusivamente nel corso del normale funzionamento dell'impianto tecnico, vale a dire durante l'esecuzione indisturbata di tutte le funzioni assegnate. Viene utilizzato di conseguenza dalle persone che gestiscono il sistema tecnico. I dispositivi di controllo dell'interruttore di funzione devono soddisfare i seguenti requisiti:

• I loro pannelli di controllo devono essere accessibili e facili da usare senza pericoli.
• I loro quadri di comando devono essere disposti in modo chiaro e razionale; ad esempio, le manopole di controllo dovrebbero funzionare "razionalmente" per quanto riguarda i movimenti controllati su e giù, destra e sinistra. (I movimenti di controllo "razionali" e gli effetti corrispondenti possono essere soggetti a variazioni locali e talvolta sono definiti per stipula.)
• I loro pannelli di controllo devono essere etichettati in modo chiaro e comprensibile, con simboli facilmente comprensibili.
• Processi che richiedono la completa attenzione dell'utente per la loro sicura esecuzione non devono poter essere innescati né da segnali di controllo generati erroneamente né dall'azionamento involontario dei dispositivi di controllo che li governano. L'elaborazione del segnale del pannello di controllo deve essere adeguatamente affidabile e il funzionamento involontario deve essere impedito da un'adeguata progettazione del dispositivo di controllo. (Vedi figura 6).

Figura 6. Rappresentazione schematica di un pannello di controllo delle operazioni

Interruttori di monitoraggio

Gli interruttori di monitoraggio impediscono l'avvio dell'impianto tecnico finché le condizioni di sicurezza monitorate non sono soddisfatte e interrompono il funzionamento non appena una condizione di sicurezza non è più soddisfatta. Sono utilizzati, ad esempio, per monitorare le porte nei vani protetti, per verificare la corretta posizione delle protezioni di sicurezza o per garantire che i limiti di velocità o di percorso non vengano superati. Gli interruttori di monitoraggio devono pertanto soddisfare i seguenti requisiti di sicurezza e affidabilità:

• L'apparecchiatura di manovra utilizzata per il monitoraggio deve emettere il segnale di protezione in modo particolarmente affidabile; ad esempio, un interruttore di monitoraggio meccanico potrebbe essere progettato per interrompere automaticamente e con particolare affidabilità il flusso del segnale.
• Lo strumento di commutazione utilizzato per scopi di monitoraggio deve essere azionato in modo particolarmente affidabile quando la condizione di sicurezza non è soddisfatta (ad esempio, quando l'astina di un interruttore di monitoraggio con interruzione automatica viene forzata meccanicamente e automaticamente nella posizione di interruzione).
• L'interruttore di monitoraggio non deve poter essere spento impropriamente, almeno non involontariamente e non senza qualche sforzo; questa condizione può essere soddisfatta, ad esempio, da un interruttore meccanico, comandato automaticamente, con interruzione automatica, quando l'interruttore e l'elemento operativo sono montati in modo sicuro. (Vedi figura 7).

Figura 7. Schema di un interruttore con manovra meccanica positiva e disconnessione positiva

Circuiti di controllo di sicurezza

Molti dei dispositivi di commutazione di sicurezza sopra descritti non eseguono direttamente la funzione di sicurezza, bensì mediante l'emissione di un segnale che viene poi trasmesso ed elaborato da un circuito di controllo di sicurezza e raggiunge infine quelle parti dell'impianto tecnico che esercitano la funzione di sicurezza vera e propria. Il dispositivo di sezionamento di sicurezza, ad esempio, provoca spesso indirettamente la disconnessione dell'energia nei punti critici, mentre un interruttore generale di solito interrompe direttamente l'alimentazione di corrente all'impianto tecnico.

Poiché i circuiti di controllo di sicurezza devono trasmettere segnali di sicurezza in modo affidabile, è necessario tenere in considerazione i seguenti principi:

• La sicurezza dovrebbe essere garantita anche quando l'energia esterna è assente o insufficiente, ad esempio durante disconnessioni o perdite.
• I segnali di protezione funzionano in modo più affidabile interrompendo il flusso del segnale; ad esempio, interruttori di sicurezza con contatto di apertura o contatto di relè aperto.
• La funzione protettiva di amplificatori, trasformatori e simili può essere ottenuta in modo più affidabile senza energia esterna; tali meccanismi includono, ad esempio, dispositivi di commutazione elettromagnetici o sfiati che sono chiusi quando sono a riposo.
• I collegamenti errati e le perdite nel circuito di controllo-sicurezza non devono provocare false partenze o impedimenti all'arresto; in particolare nei casi di cortocircuito tra i condotti di ingresso e di uscita, dispersione verso terra o messa a terra.
• Le influenze esterne che influenzano il sistema in misura non superiore alle aspettative dell'utente non devono interferire con la funzione di sicurezza del circuito di controllo di sicurezza.

I componenti utilizzati nei circuiti di controllo di sicurezza devono eseguire la funzione di sicurezza in modo particolarmente affidabile. Le funzioni dei componenti che non soddisfano tale requisito devono essere implementate predisponendo una ridondanza il più diversificata possibile e devono essere tenute sotto sorveglianza.

Di ritorno

Negli ultimi anni i microprocessori hanno svolto un ruolo sempre più importante nel campo della tecnologia di sicurezza. Poiché interi computer (ad es. unità di elaborazione centrale, memoria e componenti periferici) sono ora disponibili in un unico componente come "computer a chip singolo", la tecnologia dei microprocessori viene impiegata non solo nel controllo di macchine complesse, ma anche nelle salvaguardie di un design relativamente semplice (es. barriere fotoelettriche, dispositivi di comando a due mani e coste sensibili). Il software che controlla questi sistemi comprende da mille a diverse decine di migliaia di singoli comandi e di solito è costituito da diverse centinaia di rami di programma. I programmi operano in tempo reale e sono per lo più scritti nel linguaggio assembly dei programmatori.

L'introduzione di sistemi computerizzati nell'ambito della tecnologia di sicurezza è stata accompagnata in tutte le apparecchiature tecniche su larga scala non solo da costosi progetti di ricerca e sviluppo, ma anche da significative restrizioni volte a migliorare la sicurezza. (La tecnologia aerospaziale, la tecnologia militare e la tecnologia dell'energia atomica possono qui essere citate come esempi di applicazioni su larga scala.) Il campo collettivo della produzione industriale di massa è stato finora trattato solo in modo molto limitato. Ciò è in parte dovuto al fatto che i rapidi cicli di innovazione caratteristici della progettazione di macchine industriali rendono difficile trasferire, se non in modo molto limitato, le conoscenze che possono essere derivate da progetti di ricerca riguardanti il ​​collaudo finale di sistemi su larga scala dispositivi di sicurezza. Ciò rende auspicabile lo sviluppo di procedure di valutazione rapide ea basso costo (Reinert e Reuss 1991).

Questo articolo esamina innanzitutto le macchine e gli impianti in cui i sistemi informatici svolgono attualmente compiti di sicurezza, utilizzando esempi di incidenti che si verificano prevalentemente nell'area delle protezioni delle macchine per descrivere il ruolo particolare che i computer svolgono nella tecnologia di sicurezza. Questi incidenti danno qualche indicazione su quali precauzioni devono essere prese in modo che i dispositivi di sicurezza controllati da computer che stanno diventando sempre più diffusi non portino ad un aumento del numero di incidenti. La sezione finale dell'articolo delinea una procedura che consentirà di portare anche i piccoli sistemi informatici a un livello adeguato di sicurezza tecnica con spese giustificabili e in un periodo di tempo accettabile. I principi indicati in questa parte finale sono in fase di introduzione nelle procedure internazionali di normazione e avranno implicazioni per tutti gli ambiti della tecnologia della sicurezza in cui i computer trovano applicazione.

Esempi di utilizzo di software e computer nel campo della protezione delle macchine

I quattro esempi che seguono chiariscono che software e computer stanno attualmente entrando sempre di più nelle applicazioni legate alla sicurezza nel dominio commerciale.

Gli impianti di segnalazione personale di emergenza sono costituiti, di regola, da una stazione centrale di ricezione e da una serie di dispositivi di segnalazione personale di emergenza. I dispositivi sono trasportati da persone che lavorano in loco da sole. Se una di queste persone che lavorano da sole si trovasse in una situazione di emergenza, può utilizzare il dispositivo per far scattare un allarme tramite segnale radio nella stazione centrale di ricezione. Tale attivazione dell'allarme dipendente dalla volontà può anche essere integrata da un meccanismo di attivazione indipendente dalla volontà attivato da sensori incorporati nei dispositivi di emergenza personali. Sia i singoli dispositivi che la stazione di ricezione centrale sono spesso controllati da microcomputer. È ipotizzabile che il guasto di specifiche singole funzioni del computer integrato possa portare, in una situazione di emergenza, al mancato intervento dell'allarme. Occorre quindi prendere precauzioni per percepire e riparare nel tempo tale perdita di funzionalità.

Le macchine da stampa utilizzate oggi per stampare le riviste sono macchine di grandi dimensioni. I nastri di carta vengono normalmente preparati da una macchina separata in modo tale da consentire una transizione senza soluzione di continuità a un nuovo rotolo di carta. Le pagine stampate vengono piegate da una piegatrice e successivamente lavorate attraverso una catena di ulteriori macchine. Ciò si traduce in pallet caricati con caricatori completamente cuciti. Sebbene tali impianti siano automatizzati, vi sono due punti in cui è necessario intervenire manualmente: (1) nell'infilatura dei percorsi carta, e (2) nell'eliminazione di ostruzioni causate da strappi di carta in punti pericolosi sui rulli rotanti. Per questo motivo, durante la regolazione delle presse, la tecnologia di controllo deve garantire una velocità di funzionamento ridotta o una modalità di spostamento limitata nel tempo o nel percorso. A causa delle complesse procedure di guida coinvolte, ogni singola stazione di stampa deve essere dotata di un proprio controllore logico programmabile. Qualsiasi guasto che si verifichi nel controllo di un impianto di stampa mentre le griglie di protezione sono aperte deve essere evitato che porti all'avvio imprevisto di una macchina ferma o al funzionamento in eccesso rispetto a velocità opportunamente ridotte.

Nelle grandi fabbriche e nei magazzini, i veicoli robotici a guida automatica senza conducente si muovono su binari appositamente contrassegnati. Tali binari possono essere calpestati in qualsiasi momento da persone, oppure materiali e attrezzature possono essere inavvertitamente lasciati sui binari, in quanto non separati strutturalmente da altre linee di traffico. Per questo motivo, è necessario utilizzare una sorta di dispositivo di prevenzione delle collisioni per garantire che il veicolo venga fermato prima che si verifichi una collisione pericolosa con una persona o un oggetto. Nelle applicazioni più recenti, la prevenzione delle collisioni viene effettuata mediante scanner a ultrasuoni oa luce laser utilizzati in combinazione con un paraurti di sicurezza. Poiché questi sistemi funzionano sotto il controllo del computer, è possibile configurare diverse zone di rilevamento permanenti in modo che un veicolo possa modificare la sua reazione a seconda della zona di rilevamento specifica in cui si trova una persona. I guasti del dispositivo di protezione non devono provocare una collisione pericolosa con una persona.

Le ghigliottine del dispositivo di controllo del taglio della carta vengono utilizzate per pressare e quindi tagliare spesse pile di carta. Sono attivati ​​da un dispositivo di controllo a due mani. L'utente deve raggiungere la zona pericolosa della macchina dopo aver eseguito ogni taglio. Una protezione immateriale, di solito una barriera luminosa, viene utilizzata in combinazione con il dispositivo di controllo a due mani e un sistema di controllo sicuro della macchina per prevenire lesioni quando la carta viene alimentata durante l'operazione di taglio. Quasi tutte le ghigliottine più grandi e moderne in uso oggi sono controllate da sistemi di microcomputer multicanale. Anche il funzionamento a due mani e la barriera fotoelettrica devono essere garantiti per funzionare in sicurezza.

Incidenti con sistemi controllati da computer

In quasi tutti i campi dell'applicazione industriale, vengono segnalati incidenti con software e computer (Neumann 1994). Nella maggior parte dei casi, i guasti del computer non provocano danni alle persone. Tali inadempienze sono comunque rese pubbliche solo quando siano di interesse pubblico generale. Ciò significa che i casi di malfunzionamento o incidente relativi a computer e software in cui sono coinvolti danni alle persone costituiscono una percentuale relativamente elevata di tutti i casi pubblicizzati. Sfortunatamente, gli incidenti che non suscitano molto clamore pubblico non vengono indagati sulle loro cause con la stessa intensità degli incidenti più importanti, tipicamente in impianti di grandi dimensioni. Per questo motivo, gli esempi che seguono si riferiscono a quattro descrizioni di malfunzionamenti o incidenti tipici di sistemi controllati da computer al di fuori del campo delle protezioni delle macchine, che servono a suggerire ciò che deve essere tenuto in considerazione quando si formulano giudizi sulla tecnologia di sicurezza.

Incidenti causati da guasti casuali nell'hardware

Il seguente incidente è stato causato da una concentrazione di guasti casuali nell'hardware combinati con errori di programmazione: un reattore si è surriscaldato in un impianto chimico, dopodiché sono state aperte le valvole di sfiato, consentendo al contenuto del reattore di essere scaricato nell'atmosfera. Questo incidente si è verificato poco dopo che era stato dato un avviso che il livello dell'olio in un cambio era troppo basso. Un'attenta indagine sull'incidente mostrò che poco dopo che il catalizzatore aveva avviato la reazione nel reattore - in conseguenza della quale il reattore avrebbe richiesto un maggiore raffreddamento - il computer, sulla base della segnalazione di bassi livelli di olio nella scatola del cambio, congelò tutto grandezze sotto il suo controllo a un valore fisso. Ciò ha mantenuto il flusso di acqua fredda a un livello troppo basso e di conseguenza il reattore si è surriscaldato. Ulteriori indagini hanno mostrato che l'indicazione di bassi livelli di olio era stata segnalata da un componente difettoso.

Il software aveva risposto secondo le specifiche con l'intervento di un allarme e il fissaggio di tutte le variabili operative. Questa era una conseguenza dello studio HAZOP (hazards and operability analysis) (Knowlton 1986) condotto prima dell'evento, che richiedeva che tutte le variabili controllate non venissero modificate in caso di guasto. Poiché il programmatore non conosceva in dettaglio la procedura, tale requisito è stato interpretato nel senso che gli attuatori comandati (valvole di controllo in questo caso) non dovevano essere modificati; nessuna attenzione è stata prestata alla possibilità di un aumento della temperatura. Il programmatore non ha tenuto conto che dopo aver ricevuto un segnale errato il sistema potrebbe trovarsi in una situazione dinamica tale da richiedere l'intervento attivo del computer per evitare un contrattempo. La situazione che ha portato all'incidente era così improbabile, inoltre, che non era stata analizzata in dettaglio nello studio HAZOP (Levenson 1986). Questo esempio fornisce una transizione a una seconda categoria di cause di incidenti software e informatici. Questi sono i guasti sistematici che sono presenti nel sistema fin dall'inizio, ma che si manifestano solo in determinate situazioni molto specifiche di cui lo sviluppatore non ha tenuto conto.

Incidenti causati da guasti operativi

Durante i test sul campo durante l'ispezione finale dei robot, un tecnico ha preso in prestito la cassetta di un robot vicino e ne ha sostituita un'altra senza informare il suo collega di averlo fatto. Al ritorno al suo posto di lavoro, il collega ha inserito la cassetta sbagliata. Poiché si trovava accanto al robot e si aspettava da esso una particolare sequenza di movimenti - una sequenza che risultava diversa a causa del programma scambiato - si verificò una collisione tra robot e uomo. Questo incidente descrive il classico esempio di guasto operativo. Il ruolo di tali guasti nei malfunzionamenti e negli incidenti è attualmente in aumento a causa della crescente complessità nell'applicazione dei meccanismi di sicurezza controllati dal computer.

Incidenti causati da guasti sistematici nell'hardware o nel software

Un siluro con una testata doveva essere sparato per scopi di addestramento, da una nave da guerra in alto mare. A causa di un difetto nell'apparato propulsore, il siluro è rimasto nel tubo lanciasiluri. Il capitano ha deciso di tornare al porto di origine per salvare il siluro. Poco dopo che la nave aveva iniziato a tornare a casa, il siluro è esploso. Un'analisi dell'incidente ha rivelato che gli sviluppatori del siluro erano stati obbligati a incorporare nel siluro un meccanismo progettato per impedirne il ritorno alla rampa di lancio dopo essere stato sparato e quindi distruggere la nave che lo aveva lanciato. Il meccanismo scelto per questo era il seguente: dopo il lancio del siluro veniva effettuato un controllo, utilizzando il sistema di navigazione inerziale, per vedere se la sua rotta era stata alterata di 180°. Non appena il siluro ha percepito di aver virato di 180°, il siluro è esploso immediatamente, presumibilmente a una distanza di sicurezza dalla rampa di lancio. Questo meccanismo di rilevamento è stato attivato nel caso del siluro non correttamente lanciato, con il risultato che il siluro è esploso dopo che la nave aveva cambiato rotta di 180°. Questo è un tipico esempio di incidente verificatosi a causa di un mancato rispetto delle specifiche. Il requisito nelle specifiche secondo cui il siluro non avrebbe dovuto distruggere la propria nave in caso di cambio di rotta non era stato formulato in modo sufficientemente preciso; la precauzione è stata quindi programmata erroneamente. L'errore si è manifestato solo in una situazione particolare, che il programmatore non aveva preso in considerazione come possibilità.

Il 14 settembre 1993 un Airbus A 320 della Lufthansa si schiantò durante l'atterraggio a Varsavia (figura 1). Un'attenta indagine sull'incidente ha mostrato che le modifiche nella logica di atterraggio del computer di bordo apportate dopo un incidente con un Boeing 767 Lauda Air nel 1991 erano in parte responsabili di questo atterraggio di fortuna. Quello che era successo nell'incidente del 1991 era che la deflessione della spinta, che devia una parte dei gas del motore in modo da frenare l'aereo durante l'atterraggio, si era innestata mentre era ancora in aria, costringendo così la macchina a un'incontrollabile picchiata. Per questo motivo, nelle macchine Airbus era stato integrato un blocco elettronico della deflessione della spinta. Questo meccanismo ha permesso che la deflessione della spinta entrasse in vigore solo dopo che i sensori su entrambi i gruppi di carrello di atterraggio avevano segnalato la compressione degli ammortizzatori sotto la pressione delle ruote che toccavano terra. Sulla base di informazioni errate, i piloti dell'aereo a Varsavia prevedevano un forte vento laterale.

Figura 1. Lufthansa Airbus dopo l'incidente a Varsavia nel 1993

Per questo motivo hanno portato la macchina leggermente inclinata e l'Airbus è atterrato con la sola ruota destra, lasciando la sinistra che sopportava meno del pieno peso. A causa del blocco elettronico della deflessione della spinta, il computer di bordo ha negato al pilota per lo spazio di nove secondi manovre che avrebbero consentito all'aereo di atterrare in sicurezza nonostante le circostanze avverse. Questo incidente dimostra molto chiaramente che le modifiche nei sistemi informatici possono portare a situazioni nuove e pericolose se non si considera in anticipo la gamma delle loro possibili conseguenze.

Il seguente esempio di malfunzionamento dimostra anche gli effetti disastrosi che la modifica di un singolo comando può avere nei sistemi informatici. La gradazione alcolica del sangue viene determinata, in test chimici, utilizzando siero di sangue limpido da cui sono stati preventivamente centrifugati i globuli. Il contenuto alcolico del siero è quindi superiore (di un fattore 1.2) a quello del sangue intero più denso. Per questo motivo i valori alcolici nel siero devono essere divisi per un fattore di 1.2 per stabilire le parti per mille legalmente e medicalmente critiche. Nel test interlaboratorio svoltosi nel 1984, si sarebbero dovuti confrontare tra loro i valori alcolemici accertati in identici test eseguiti presso diversi istituti di ricerca utilizzando il siero. Trattandosi solo di un confronto, il comando di dividere per 1.2 è stato inoltre cancellato dal programma di uno degli istituti per tutta la durata dell'esperimento. Al termine del test interlaboratorio, in questo punto è stato erroneamente introdotto nel programma un comando di moltiplicazione per 1.2. Di conseguenza, tra l'agosto 1,500 e il marzo 1984 sono stati calcolati circa 1985 valori di parti per mille errati. Tale errore è stato determinante per la carriera professionale degli autotrasportatori con valori alcolemici compresi tra 1.0 e 1.3 per mille, poiché una sanzione giudiziaria che comporta il ritiro della patente per un periodo prolungato è conseguenza di un valore dell'1.3 per mille.

Incidenti causati da influssi da sollecitazioni operative o da sollecitazioni ambientali

A seguito di un disturbo causato dalla raccolta di scarti nell'area effettiva di una punzonatrice e roditrice CNC (computer numeric control), l'utente ha posto in essere il “stop programmato”. Mentre cercava di rimuovere i rifiuti con le mani, l'asta di spinta della macchina ha iniziato a muoversi nonostante l'arresto programmato e ha ferito gravemente l'utente. Un'analisi dell'incidente ha rivelato che non si trattava di un errore nel programma. Non è stato possibile riprodurre l'avvio imprevisto. Irregolarità simili erano state osservate in passato su altre macchine dello stesso tipo. Da questi sembra plausibile dedurre che l'incidente debba essere stato causato da interferenze elettromagnetiche. Incidenti simili con robot industriali sono segnalati dal Giappone (Neumann 1987).

Un malfunzionamento della sonda spaziale Voyager 2 il 18 gennaio 1986 rende ancora più chiara l'influenza delle sollecitazioni ambientali sui sistemi controllati dal computer. Sei giorni prima dell'avvicinamento più vicino a Urano, ampi campi di linee bianche e nere coprivano le immagini della Voyager 2. Un'analisi precisa ha mostrato che un singolo bit in una parola di comando del sottosistema dei dati di volo aveva causato il guasto, osservato come le immagini sono state compresse nella sonda. Molto probabilmente questo bit era stato messo fuori posto all'interno della memoria del programma dall'impatto di una particella cosmica. La trasmissione senza errori delle fotografie compresse dalla sonda è stata effettuata solo due giorni dopo, utilizzando un programma sostitutivo in grado di bypassare il punto di memoria guasto (Laeser, McLaughlin e Wolff 1987).

Sintesi degli infortuni presentati

Gli incidenti analizzati mostrano che alcuni rischi che potrebbero essere trascurati in condizioni di semplice tecnologia elettromeccanica, acquistano importanza quando si utilizzano i computer. I computer consentono l'elaborazione di funzioni di sicurezza complesse e specifiche della situazione. Una specifica univoca, priva di errori, completa e verificabile di tutte le funzioni di sicurezza diventa per questo motivo particolarmente importante. Gli errori nelle specifiche sono difficili da scoprire e sono spesso causa di incidenti in sistemi complessi. I controlli liberamente programmabili vengono solitamente introdotti con l'intenzione di poter reagire in modo flessibile e rapido al mercato in evoluzione. Le modifiche, tuttavia, in particolare nei sistemi complessi, hanno effetti collaterali difficili da prevedere. Tutte le modifiche devono quindi essere sottoposte a una procedura di gestione delle modifiche rigorosamente formale in cui una netta separazione delle funzioni di sicurezza dai sistemi parziali non rilevanti per la sicurezza contribuirà a mantenere facilmente rilevabili le conseguenze delle modifiche per la tecnologia di sicurezza.

I computer funzionano con bassi livelli di elettricità. Sono quindi suscettibili di interferenze da sorgenti di radiazioni esterne. Poiché la modifica di un singolo segnale tra milioni può portare a un malfunzionamento, vale la pena prestare particolare attenzione al tema della compatibilità elettromagnetica in connessione con i computer.

La manutenzione dei sistemi controllati da computer sta attualmente diventando sempre più complessa e quindi più poco chiara. L'ergonomia del software dell'utente e del software di configurazione sta quindi diventando sempre più interessante dal punto di vista della tecnologia di sicurezza.

Nessun sistema informatico è testabile al 100%. Un semplice meccanismo di controllo con 32 porte di input binari e 1,000 diversi percorsi software richiede 4.3 × 10¹² test per un controllo completo. Ad una velocità di 100 test al secondo eseguiti e valutati, un test completo richiederebbe 1,362 anni.

Procedure e misure per il miglioramento dei dispositivi di sicurezza controllati da computer

Negli ultimi 10 anni sono state sviluppate procedure che consentono di padroneggiare sfide specifiche relative alla sicurezza in relazione ai computer. Queste procedure si rivolgono ai guasti del computer descritti in questa sezione. Gli esempi descritti di software e computer nelle protezioni delle macchine e gli infortuni analizzati, mostrano che l'entità dei danni e quindi anche il rischio insito nelle varie applicazioni sono estremamente variabili. È quindi chiaro che le precauzioni necessarie per il miglioramento dei computer e dei software utilizzati nella tecnologia della sicurezza dovrebbero essere stabilite in relazione al rischio.

La figura 2 mostra una procedura qualitativa attraverso la quale è possibile determinare la necessaria riduzione del rischio ottenibile utilizzando i sistemi di sicurezza indipendentemente dall'entità e dalla frequenza con cui si verifica il danno (Bell e Reinert 1992). Le tipologie di guasti nei sistemi informatici analizzate nella sezione “Infortuni con sistemi controllati da computer” (sopra) possono essere messe in relazione con i cosiddetti Safety Integrity Levels, cioè le strutture tecniche per la riduzione del rischio.

Figura 2. Procedura qualitativa per la determinazione del rischio

La Figura 3 chiarisce che l'efficacia delle misure adottate, in ogni caso, per ridurre gli errori nel software e nei computer deve crescere con l'aumentare del rischio (DIN 1994; IEC 1993).

Figura 3, Efficacia delle precauzioni prese contro gli errori indipendentemente dal rischio

L'analisi degli incidenti sopra abbozzata mostra che il fallimento delle protezioni computerizzate è causato non solo da guasti casuali dei componenti, ma anche da particolari condizioni operative di cui il programmatore non ha tenuto conto. Le conseguenze non immediatamente evidenti delle modifiche apportate al programma durante la manutenzione del sistema costituiscono un'ulteriore fonte di errore. Ne consegue che possono verificarsi guasti nei sistemi di sicurezza controllati da microprocessori che, sebbene realizzati durante lo sviluppo del sistema, possono portare a una situazione di pericolo solo durante il funzionamento. Pertanto, è necessario prendere precauzioni contro tali guasti mentre i sistemi relativi alla sicurezza sono in fase di sviluppo. Queste cosiddette misure di prevenzione dei guasti devono essere prese non solo durante la fase di ideazione, ma anche nel processo di sviluppo, installazione e modifica. Alcuni guasti possono essere evitati se vengono scoperti e corretti durante questo processo (DIN 1990).

Come chiarisce l'ultimo incidente descritto, il guasto di un singolo transistor può portare al guasto tecnico di apparecchiature automatizzate molto complesse. Poiché ogni singolo circuito è composto da molte migliaia di transistor e altri componenti, è necessario adottare numerose misure per evitare i guasti per riconoscere i guasti che si verificano durante il funzionamento e per avviare una reazione appropriata nel sistema informatico. La Figura 4 descrive i tipi di guasti nei sistemi elettronici programmabili, nonché esempi di precauzioni che possono essere prese per evitare e controllare i guasti nei sistemi informatici (DIN 1990; IEC 1992).

Figura 4. Esempi di precauzioni prese per controllare ed evitare errori nei sistemi informatici

Possibilità e prospettive dei sistemi elettronici programmabili nella tecnologia della sicurezza

Le macchine e gli impianti moderni stanno diventando sempre più complessi e devono svolgere compiti sempre più complessi in periodi di tempo sempre più brevi. Per questo motivo, i sistemi informatici hanno conquistato quasi tutti i settori dell'industria dalla metà degli anni '1970. Questo aumento di complessità da solo ha contribuito in modo significativo all'aumento dei costi legati al miglioramento della tecnologia di sicurezza in tali sistemi. Sebbene software e computer rappresentino una grande sfida per la sicurezza sul posto di lavoro, rendono anche possibile l'implementazione di nuovi sistemi a prova di errore nel campo della tecnologia di sicurezza.

Un verso buffo ma istruttivo di Ernst Jandl aiuterà a spiegare cosa si intende con il concetto favorevole agli errori. “Lichtung: Manche meinen lechts und rinks kann man nicht velwechsern, werch ein Illtum”. ("Dilection: Many berieve light and reft cannot be intelchanged, what an ellol".) Nonostante lo scambio di lettere r ed l, questa frase è facilmente comprensibile da un normale essere umano adulto. Anche qualcuno con scarsa padronanza della lingua inglese può tradurlo in inglese. Il compito è, tuttavia, quasi impossibile per un computer che traduce da solo.

Questo esempio mostra che un essere umano può reagire in modo molto più favorevole agli errori rispetto a un computer linguistico. Ciò significa che gli esseri umani, come tutte le altre creature viventi, possono tollerare i fallimenti riferendoli all'esperienza. Se si guardano le macchine oggi in uso, si vede che la maggior parte delle macchine penalizza i guasti degli utenti non con un infortunio, ma con un calo della produzione. Questa proprietà porta alla manipolazione o all'elusione delle garanzie. La moderna tecnologia informatica mette a disposizione della sicurezza sul lavoro sistemi in grado di reagire in modo intelligente, cioè in modo modificato. Tali sistemi rendono quindi possibile una modalità di comportamento favorevole agli errori nelle nuove macchine. Avvertono prima di tutto gli utenti durante un'operazione errata e spengono la macchina solo quando questo è l'unico modo per evitare un incidente. L'analisi degli infortuni mostra che esiste in questo settore un notevole potenziale di riduzione degli infortuni (Reinert e Reuss 1991).

Di ritorno

Un sistema automatizzato ibrido (HAS) mira a integrare le capacità delle macchine artificialmente intelligenti (basate sulla tecnologia informatica) con le capacità delle persone che interagiscono con queste macchine nel corso delle loro attività lavorative. Le principali preoccupazioni dell'utilizzo degli HAS riguardano il modo in cui i sottosistemi uomo e macchina dovrebbero essere progettati al fine di sfruttare al meglio le conoscenze e le capacità di entrambe le parti del sistema ibrido e come gli operatori umani e i componenti della macchina dovrebbero interagire tra loro per garantire che le loro funzioni si completino a vicenda. Molti sistemi automatizzati ibridi si sono evoluti come prodotti di applicazioni di moderne metodologie basate sull'informazione e sul controllo per automatizzare e integrare diverse funzioni di sistemi tecnologici spesso complessi. HAS è stato originariamente identificato con l'introduzione di sistemi basati su computer utilizzati nella progettazione e nel funzionamento di sistemi di controllo in tempo reale per reattori nucleari, per impianti di lavorazione chimica e per la tecnologia di produzione di componenti discreti. Gli HAS possono ora essere trovati anche in molte industrie di servizi, come il controllo del traffico aereo e le procedure di navigazione aerea nell'area dell'aviazione civile, e nella progettazione e nell'uso di veicoli intelligenti e sistemi di navigazione autostradale nel trasporto su strada.

Con i continui progressi nell'automazione basata su computer, la natura dei compiti umani nei moderni sistemi tecnologici si sposta da quelli che richiedono abilità percettivo-motorie a quelli che richiedono attività cognitive, necessarie per la risoluzione dei problemi, per il processo decisionale nel monitoraggio del sistema e per compiti di controllo di vigilanza. Ad esempio, gli operatori umani nei sistemi di produzione integrati da computer agiscono principalmente come monitor di sistema, risolutori di problemi e decisori. Le attività cognitive del supervisore umano in qualsiasi ambiente HAS sono (1) pianificare cosa dovrebbe essere fatto per un dato periodo di tempo, (2) ideare procedure (o passaggi) per raggiungere l'insieme di obiettivi pianificati, (3) monitorare i progressi dei processi (tecnologici), (4) "insegnare" al sistema attraverso un computer umano-interattivo, (5) intervenire se il sistema si comporta in modo anomalo o se le priorità di controllo cambiano e (6) apprendere attraverso il feedback del sistema sull'impatto dei azioni di supervisione (Sheridan 1987).

Progettazione di sistemi ibridi

Le interazioni uomo-macchina in un HAS comportano l'utilizzo di circuiti di comunicazione dinamici tra gli operatori umani e le macchine intelligenti, un processo che include il rilevamento e l'elaborazione delle informazioni e l'avvio e l'esecuzione di attività di controllo e processo decisionale, all'interno di una data struttura di allocazione delle funzioni tra uomini e macchine. Come minimo, le interazioni tra le persone e l'automazione dovrebbero riflettere l'elevata complessità dei sistemi automatizzati ibridi, nonché le caratteristiche rilevanti degli operatori umani e i requisiti delle attività. Pertanto, l'automazione ibrida può essere formalmente definita come quintupla nella seguente formula:

HA = (T, U, C, E, I)

where T = requisiti del compito (fisici e cognitivi); U = caratteristiche dell'utente (fisiche e cognitive); C = le caratteristiche di automazione (hardware e software, comprese le interfacce informatiche); E = l'ambiente del sistema; I = un insieme di interazioni tra gli elementi di cui sopra.

L'insieme delle interazioni I incarna tutte le possibili interazioni tra T, U ed C in E indipendentemente dalla loro natura o forza associativa. Ad esempio, una delle possibili interazioni potrebbe comportare la relazione dei dati immagazzinati nella memoria del computer con la corrispondente conoscenza, se presente, dell'operatore umano. Le interazioni I può essere elementare (cioè limitato a un'associazione uno a uno) o complesso, come comportare interazioni tra l'operatore umano, il particolare software utilizzato per raggiungere l'attività desiderata e l'interfaccia fisica disponibile con il computer.

I progettisti di molti sistemi automatizzati ibridi si concentrano principalmente sull'integrazione assistita da computer di macchine sofisticate e altre apparecchiature come parti della tecnologia basata su computer, prestando raramente molta attenzione alla necessità fondamentale di un'effettiva integrazione umana all'interno di tali sistemi. Pertanto, allo stato attuale, molti dei sistemi informatici integrati (tecnologici) non sono pienamente compatibili con le capacità intrinseche degli operatori umani espresse dalle competenze e dalle conoscenze necessarie per l'efficace controllo e monitoraggio di tali sistemi. Tale incompatibilità sorge a tutti i livelli del funzionamento umano, macchina e uomo-macchina e può essere definita all'interno di un quadro dell'individuo e dell'intera organizzazione o struttura. Ad esempio, i problemi di integrazione di persone e tecnologia nelle imprese manifatturiere avanzate si verificano all'inizio della fase di progettazione HAS. Questi problemi possono essere concettualizzati utilizzando il seguente modello di integrazione del sistema della complessità delle interazioni, I, tra i progettisti di sistema, D, operatori umani, H, o potenziali utenti del sistema e tecnologia, T:

io (H, T) = FA [ MI (LA, RE), MI (RE, MI)]

where I sta per le interazioni rilevanti che si svolgono in una data struttura di HAS, mentre F indica le relazioni funzionali tra progettisti, operatori umani e tecnologia.

Il modello di integrazione del sistema di cui sopra evidenzia il fatto che le interazioni tra gli utenti e la tecnologia sono determinate dal risultato dell'integrazione delle due interazioni precedenti, vale a dire (1) quelle tra i progettisti HAS e i potenziali utenti e (2) quelle tra i progettisti e la tecnologia HAS (a livello di macchine e loro integrazione). Va notato che anche se tipicamente esistono forti interazioni tra designer e tecnologia, si possono trovare solo pochissimi esempi di interrelazioni altrettanto forti tra designer e operatori umani.

Si può sostenere che anche nei sistemi più automatizzati, il ruolo umano rimane fondamentale per il successo delle prestazioni del sistema a livello operativo. Bainbridge (1983) ha identificato una serie di problemi relativi al funzionamento dell'HAS che sono dovuti alla natura dell'automazione stessa, come segue:

1. Operatori “fuori dal giro di controllo”. Gli operatori umani sono presenti nel sistema per esercitare il controllo quando necessario, ma essendo "fuori dal circuito di controllo" non riescono a mantenere le capacità manuali e la conoscenza del sistema a lungo termine che sono spesso richieste in caso di emergenza.
2. "Immagine mentale" obsoleta. Gli operatori umani potrebbero non essere in grado di rispondere rapidamente ai cambiamenti nel comportamento del sistema se non hanno seguito da vicino gli eventi del suo funzionamento. Inoltre, la conoscenza o l'immagine mentale degli operatori del funzionamento del sistema può essere inadeguata per avviare o esercitare le risposte richieste.
3. Generazioni di abilità che scompaiono. I nuovi operatori potrebbero non essere in grado di acquisire una conoscenza sufficiente del sistema informatico acquisita attraverso l'esperienza e, pertanto, non saranno in grado di esercitare un controllo effettivo quando necessario.
4. Autorità degli automatici. Se il sistema computerizzato è stato implementato perché può svolgere i compiti richiesti meglio dell'operatore umano, sorge la domanda: "Su quale base l'operatore dovrebbe decidere che le decisioni corrette o errate vengono prese dai sistemi automatizzati?"
5. Emersione delle nuove tipologie di “errori umani” dovuti all'automazione. I sistemi automatizzati portano a nuovi tipi di errori e, di conseguenza, incidenti che non possono essere analizzati nell'ambito delle tradizionali tecniche di analisi.

Assegnazione dei compiti

Una delle questioni importanti per la progettazione HAS è determinare quante e quali funzioni o responsabilità dovrebbero essere assegnate agli operatori umani e quali e quante ai computer. In generale, ci sono tre classi fondamentali di problemi di allocazione dei compiti che dovrebbero essere considerati: (1) l'allocazione dei compiti umano-supervisore-computer, (2) l'allocazione dei compiti umano-umano e (3) l'allocazione dei compiti di supervisione computer-computer. Idealmente, le decisioni di allocazione dovrebbero essere prese attraverso una procedura di allocazione strutturata prima che inizi la progettazione di base del sistema. Sfortunatamente un tale processo sistematico è raramente possibile, poiché le funzioni da allocare possono richiedere un ulteriore esame o devono essere eseguite in modo interattivo tra i componenti del sistema uomo e macchina, ovvero attraverso l'applicazione del paradigma del controllo di supervisione. L'assegnazione dei compiti nei sistemi automatizzati ibridi dovrebbe concentrarsi sull'estensione delle responsabilità di supervisione umana e informatica e dovrebbe considerare la natura delle interazioni tra l'operatore umano e i sistemi computerizzati di supporto alle decisioni. Dovrebbero essere considerati anche i mezzi di trasferimento delle informazioni tra le macchine e le interfacce umane di input-output e la compatibilità del software con le capacità cognitive umane di risoluzione dei problemi.

Negli approcci tradizionali alla progettazione e alla gestione di sistemi automatizzati ibridi, i lavoratori erano considerati come sistemi di input-output deterministici e si tendeva a ignorare la natura teleologica del comportamento umano, ovvero il comportamento orientato all'obiettivo che si basa sull'acquisizione di informazioni rilevanti e la selezione degli obiettivi (Goodstein et al. 1988). Per avere successo, la progettazione e la gestione di sistemi automatizzati ibridi avanzati devono basarsi su una descrizione delle funzioni mentali umane necessarie per un compito specifico. L'approccio di "ingegneria cognitiva" (descritto più avanti) propone che i sistemi uomo-macchina (ibridi) debbano essere concepiti, progettati, analizzati e valutati in termini di processi mentali umani (vale a dire, il modello mentale dell'operatore dei sistemi adattivi viene preso in considerazione account). I seguenti sono i requisiti dell'approccio incentrato sull'uomo alla progettazione e al funzionamento degli HAS come formulato da Corbett (1988):

1. Compatibilità. Il funzionamento del sistema non dovrebbe richiedere competenze non correlate alle competenze esistenti, ma dovrebbe consentire l'evoluzione delle competenze esistenti. L'operatore umano dovrebbe inserire e ricevere informazioni compatibili con la pratica convenzionale in modo che l'interfaccia sia conforme alle conoscenze e abilità precedenti dell'utente.
2. Trasparenza. Non si può controllare un sistema senza capirlo. Pertanto, l'operatore umano deve essere in grado di “vedere” i processi interni del software di controllo del sistema se si vuole facilitare l'apprendimento. Un sistema trasparente consente agli utenti di costruire facilmente un modello interno delle funzioni decisionali e di controllo che il sistema può svolgere.
3. Scossa minima. Il sistema non dovrebbe fare nulla che gli operatori trovino inaspettato alla luce delle informazioni a loro disposizione, che dettagliano lo stato attuale del sistema.
4. Controllo dei disturbi. Le attività incerte (come definite dall'analisi della struttura di scelta) dovrebbero essere sotto il controllo dell'operatore umano con il supporto decisionale del computer.
5. Fallibilità. Le abilità e le conoscenze implicite degli operatori umani non dovrebbero essere progettate fuori dal sistema. Gli operatori non dovrebbero mai essere messi in una posizione in cui guardano impotenti il ​​software dirigere un'operazione non corretta.
6. Reversibilità dell'errore. Il software dovrebbe fornire un feedforward sufficiente di informazioni per informare l'operatore umano delle probabili conseguenze di una particolare operazione o strategia.
7. Flessibilità operativa. Il sistema dovrebbe offrire agli operatori umani la libertà di bilanciare i requisiti ei limiti delle risorse modificando le strategie operative senza perdere il supporto del software di controllo.

Ingegneria cognitiva dei fattori umani

L'ingegneria cognitiva dei fattori umani si concentra su come gli operatori umani prendono decisioni sul posto di lavoro, risolvono problemi, formulano piani e apprendono nuove abilità (Hollnagel e Woods 1983). I ruoli degli operatori umani che operano in qualsiasi HAS possono essere classificati utilizzando lo schema di Rasmussen (1983) in tre categorie principali:

1. Comportamento basato sull'abilità è la prestazione sensomotoria eseguita durante atti o attività che si svolgono senza controllo cosciente come modelli di comportamento fluidi, automatizzati e altamente integrati. Le attività umane che rientrano in questa categoria sono considerate una sequenza di atti qualificati composti per una data situazione. Il comportamento basato sull'abilità è quindi l'espressione di modelli di comportamento più o meno memorizzati o di istruzioni pre-programmate in un dominio spazio-temporale.
2. Comportamento basato su regole è una categoria di prestazione orientata all'obiettivo strutturata dal controllo feedforward attraverso una regola o una procedura memorizzata, ovvero una prestazione ordinata che consente di comporre una sequenza di subroutine in una situazione di lavoro familiare. La regola è tipicamente selezionata da esperienze precedenti e riflette le proprietà funzionali che vincolano il comportamento dell'ambiente. Le prestazioni basate su regole si basano su un know-how esplicito per quanto riguarda l'utilizzo delle regole pertinenti. Il set di dati decisionali è costituito da riferimenti per il riconoscimento e l'identificazione di stati, eventi o situazioni.
3. Comportamento basato sulla conoscenza è una categoria di prestazione controllata dall'obiettivo, in cui l'obiettivo è esplicitamente formulato sulla base della conoscenza dell'ambiente e degli obiettivi della persona. La struttura interna del sistema è rappresentata da un “modello mentale”. Questo tipo di comportamento consente lo sviluppo e la verifica di diversi piani in condizioni di controllo sconosciute e, quindi, incerte, ed è necessario quando le abilità o le regole non sono disponibili o sono inadeguate, quindi è necessario ricorrere alla risoluzione dei problemi e alla pianificazione.

Nella progettazione e gestione di un HAS, si dovrebbero considerare le caratteristiche cognitive dei lavoratori al fine di assicurare la compatibilità del funzionamento del sistema con il modello interno del lavoratore che ne descrive le funzioni. Di conseguenza, il livello di descrizione del sistema dovrebbe essere spostato dagli aspetti del funzionamento umano basati sulle abilità a quelli basati sulle regole e sulla conoscenza, e dovrebbero essere usati metodi appropriati di analisi dei compiti cognitivi per identificare il modello dell'operatore di un sistema. Un problema correlato nello sviluppo di un HAS è la progettazione di mezzi di trasmissione delle informazioni tra l'operatore umano e i componenti del sistema automatizzato, sia a livello fisico che cognitivo. Tale trasferimento di informazioni dovrebbe essere compatibile con le modalità di informazione utilizzate a diversi livelli di funzionamento del sistema, cioè visivo, verbale, tattile o ibrido. Questa compatibilità informativa garantisce che le diverse forme di trasferimento delle informazioni richiedano un'incompatibilità minima tra il mezzo e la natura delle informazioni. Ad esempio, un display visivo è il migliore per la trasmissione di informazioni spaziali, mentre l'input uditivo può essere utilizzato per trasmettere informazioni testuali.

Molto spesso l'operatore umano sviluppa un modello interno che descrive il funzionamento e la funzione del sistema in base alla sua esperienza, formazione e istruzioni in relazione al tipo dato di interfaccia uomo-macchina. Alla luce di questa realtà, i progettisti di un HAS dovrebbero tentare di integrare nelle macchine (o altri sistemi artificiali) un modello delle caratteristiche fisiche e cognitive dell'operatore umano, ovvero l'immagine dell'operatore da parte del sistema (Hollnagel e Woods 1983) . I progettisti di un HAS devono anche prendere in considerazione il livello di astrazione nella descrizione del sistema così come varie categorie rilevanti del comportamento dell'operatore umano. Questi livelli di astrazione per modellare il funzionamento umano nell'ambiente di lavoro sono i seguenti (Rasmussen 1983): (1) forma fisica (struttura anatomica), (2) funzioni fisiche (funzioni fisiologiche), (3) funzioni generalizzate (meccanismi psicologici e e processi affettivi), (4) funzioni astratte (elaborazione delle informazioni) e (5) scopo funzionale (strutture di valori, miti, religioni, interazioni umane). Questi cinque livelli devono essere considerati simultaneamente dai progettisti al fine di garantire prestazioni HAS efficaci.

Progettazione del software di sistema

Poiché il software del computer è un componente primario di qualsiasi ambiente HAS, lo sviluppo del software, inclusi progettazione, test, funzionamento e modifica, e i problemi di affidabilità del software devono essere considerati anche nelle prime fasi dello sviluppo HAS. In questo modo, si dovrebbe essere in grado di ridurre il costo del rilevamento e dell'eliminazione degli errori del software. È difficile, tuttavia, stimare l'affidabilità dei componenti umani di un HAS, a causa delle limitazioni nella nostra capacità di modellare le prestazioni delle attività umane, il relativo carico di lavoro e potenziali errori. Un carico di lavoro mentale eccessivo o insufficiente può portare rispettivamente a sovraccarico di informazioni e noia e può comportare prestazioni umane degradate, con conseguenti errori e aumento della probabilità di incidenti. I progettisti di un HAS dovrebbero impiegare interfacce adattive, che utilizzano tecniche di intelligenza artificiale, per risolvere questi problemi. Oltre alla compatibilità uomo-macchina, deve essere considerato il problema dell'adattabilità reciproca uomo-macchina al fine di ridurre i livelli di stress che si verificano quando le capacità umane possono essere superate.

A causa dell'elevato livello di complessità di molti sistemi automatizzati ibridi, l'identificazione di qualsiasi potenziale pericolo correlato all'hardware, al software, alle procedure operative e alle interazioni uomo-macchina di questi sistemi diventa fondamentale per il successo degli sforzi volti alla riduzione degli infortuni e dei danni alle apparecchiature . I rischi per la sicurezza e la salute associati a complessi sistemi automatizzati ibridi, come la tecnologia di produzione integrata da computer (CIM), sono chiaramente uno degli aspetti più critici della progettazione e del funzionamento del sistema.

Problemi di sicurezza del sistema

Gli ambienti automatizzati ibridi, con il loro significativo potenziale di comportamento irregolare del software di controllo in condizioni di disturbo del sistema, creano una nuova generazione di rischi di incidente. Man mano che i sistemi automatizzati ibridi diventano più versatili e complessi, i disturbi del sistema, compresi i problemi di avvio e arresto e le deviazioni nel controllo del sistema, possono aumentare significativamente la possibilità di un serio pericolo per gli operatori umani. Ironia della sorte, in molte situazioni anomale, gli operatori di solito fanno affidamento sul corretto funzionamento dei sottosistemi di sicurezza automatizzati, una pratica che può aumentare il rischio di lesioni gravi. Ad esempio, uno studio sugli incidenti relativi a malfunzionamenti dei sistemi di controllo tecnico ha mostrato che circa un terzo delle sequenze di incidenti includeva l'intervento umano nel circuito di controllo del sistema disturbato.

Poiché le misure di sicurezza tradizionali non possono essere facilmente adattate alle esigenze degli ambienti HAS, le strategie di controllo degli infortuni e di prevenzione degli incidenti devono essere riconsiderate alla luce delle caratteristiche intrinseche di questi sistemi. Ad esempio, nell'area della tecnologia di produzione avanzata, molti processi sono caratterizzati dall'esistenza di notevoli quantità di flussi di energia che non possono essere facilmente previsti dagli operatori umani. Inoltre, i problemi di sicurezza emergono tipicamente alle interfacce tra i sottosistemi o quando i disturbi del sistema passano da un sottosistema all'altro. Secondo l'Organizzazione internazionale per la standardizzazione (ISO 1991), i rischi associati ai pericoli dovuti all'automazione industriale variano con i tipi di macchine industriali incorporate nello specifico sistema di produzione e con le modalità con cui il sistema è installato, programmato, utilizzato, mantenuto e riparato. Ad esempio, un confronto tra gli incidenti relativi ai robot in Svezia e altri tipi di incidenti ha mostrato che i robot possono essere le macchine industriali più pericolose utilizzate nell'industria manifatturiera avanzata. Il tasso di incidenti stimato per i robot industriali è stato di un incidente grave ogni 45 anni-robot, un tasso superiore a quello delle presse industriali, che è stato riportato essere un incidente ogni 50 anni-macchina. Va notato qui che le presse industriali negli Stati Uniti hanno rappresentato circa il 23% di tutti gli incidenti mortali correlati alle macchine per la lavorazione dei metalli per il periodo 1980-1985, con le presse elettriche al primo posto rispetto al prodotto gravità-frequenza per infortuni non mortali.

Nel campo della tecnologia di produzione avanzata, ci sono molte parti mobili che sono pericolose per i lavoratori poiché cambiano la loro posizione in modo complesso al di fuori del campo visivo degli operatori umani. I rapidi sviluppi tecnologici nella produzione integrata da computer hanno creato un'esigenza critica per studiare gli effetti della tecnologia di produzione avanzata sui lavoratori. Per identificare i pericoli causati dai vari componenti di un tale ambiente HAS, è necessario analizzare attentamente gli incidenti passati. Sfortunatamente, gli incidenti che coinvolgono l'uso di robot sono difficili da isolare dalle segnalazioni di incidenti relativi a macchine operate dall'uomo e, pertanto, potrebbe esserci un'alta percentuale di incidenti non registrati. Le norme sulla salute e sicurezza sul lavoro del Giappone affermano che "i robot industriali non dispongono attualmente di mezzi affidabili di sicurezza e i lavoratori non possono essere protetti da essi a meno che il loro uso non sia regolamentato". Ad esempio, i risultati dell'indagine condotta dal Ministero del lavoro del Giappone (Sugimoto 1987) sugli incidenti relativi ai robot industriali nelle 190 fabbriche esaminate (con 4,341 robot funzionanti) hanno mostrato che si sono verificati 300 disturbi correlati ai robot, di cui 37 casi degli atti non sicuri ha provocato alcuni quasi incidenti, 9 sono stati incidenti con lesioni e 2 sono stati incidenti mortali. I risultati di altri studi indicano che l'automazione basata su computer non aumenta necessariamente il livello generale di sicurezza, poiché l'hardware del sistema non può essere reso sicuro dalle sole funzioni di sicurezza nel software del computer e i controller di sistema non sono sempre altamente affidabili. Inoltre, in un HAS complesso, non si può fare affidamento esclusivamente sui dispositivi di rilevamento della sicurezza per rilevare condizioni di pericolo e intraprendere strategie appropriate per evitare i rischi.

Effetti dell'automazione sulla salute umana

Come discusso in precedenza, le attività dei lavoratori in molti ambienti HAS sono fondamentalmente quelle di controllo di supervisione, monitoraggio, supporto del sistema e manutenzione. Queste attività possono anche essere classificate in quattro gruppi di base come segue: (1) attività di programmazione, ovvero codifica delle informazioni che guidano e dirigono il funzionamento dei macchinari, (2) monitoraggio della produzione HAS e componenti di controllo, (3) manutenzione dei componenti HAS per prevenire o alleviare i malfunzionamenti dei macchinari e (4) svolgere una varietà di attività di supporto, ecc. Molte revisioni recenti dell'impatto dell'HAS sul benessere dei lavoratori hanno concluso che sebbene l'utilizzo di un HAS nell'area di produzione possa eliminare compiti pesanti e pericolosi , lavorare in un ambiente HAS può essere insoddisfacente e stressante per i lavoratori. Le fonti di stress includevano il monitoraggio costante richiesto in molte applicazioni HAS, l'ambito limitato delle attività assegnate, il basso livello di interazione tra i lavoratori consentito dalla progettazione del sistema e i rischi per la sicurezza associati alla natura imprevedibile e incontrollabile dell'apparecchiatura. Anche se alcuni lavoratori coinvolti nelle attività di programmazione e manutenzione avvertono gli elementi di sfida, che possono avere effetti positivi sul loro benessere, questi effetti sono spesso controbilanciati dalla natura complessa e impegnativa di queste attività, nonché dalla pressione esercitato dalla direzione per completare rapidamente queste attività.

Sebbene in alcuni ambienti HAS gli operatori umani siano rimossi dalle tradizionali fonti di energia (il flusso di lavoro e il movimento della macchina) durante le normali condizioni operative, molte attività nei sistemi automatizzati devono ancora essere svolte a diretto contatto con altre fonti di energia. Poiché il numero di diversi componenti HAS è in continuo aumento, occorre porre particolare enfasi sul comfort e sulla sicurezza dei lavoratori e sullo sviluppo di efficaci disposizioni per il controllo degli infortuni, soprattutto in considerazione del fatto che i lavoratori non sono più in grado di tenere il passo con il sofisticazione e complessità di tali sistemi.

Al fine di soddisfare le attuali esigenze di controllo degli infortuni e sicurezza dei lavoratori nei sistemi di produzione integrati da computer, il Comitato ISO sui sistemi di automazione industriale ha proposto un nuovo standard di sicurezza intitolato "Sicurezza dei sistemi di produzione integrati" (1991). Questo nuovo standard internazionale, che è stato sviluppato in riconoscimento dei rischi particolari che esistono nei sistemi di produzione integrati che incorporano macchine industriali e attrezzature associate, mira a ridurre al minimo le possibilità di lesioni al personale mentre si lavora su o in prossimità di un sistema di produzione integrato. Le principali fonti di potenziali pericoli per gli operatori umani in CIM identificate da questo standard sono mostrate in figura 1.

Figura 1. Principale fonte di pericoli nella produzione integrata da computer (CIM) (dopo ISO 1991)

Errori umani e di sistema

In generale, i pericoli in un HAS possono derivare dal sistema stesso, dalla sua associazione con altre apparecchiature presenti nell'ambiente fisico o dalle interazioni del personale umano con il sistema. Un incidente è solo uno dei numerosi esiti delle interazioni uomo-macchina che possono emergere in condizioni pericolose; la maggior parte degli incidenti e dei danni è molto più comune (Zimolong e Duda 1992). Il verificarsi di un errore può portare a una delle seguenti conseguenze: (1) l'errore passa inosservato, (2) il sistema può compensare l'errore, (3) l'errore porta a un guasto della macchina e/o all'arresto del sistema o (4 ) l'errore provoca un incidente.

Poiché non tutti gli errori umani che si traducono in un incidente critico causeranno un incidente effettivo, è opportuno distinguere ulteriormente tra le seguenti categorie di risultati: (1) un incidente non sicuro (ovvero, qualsiasi evento non intenzionale indipendentemente dal fatto che provochi lesioni, danni o perdita), (2) un incidente (vale a dire, un evento pericoloso che provoca lesioni, danni o perdite), (3) un incidente con danno (vale a dire, un evento pericoloso che provoca solo un qualche tipo di danno materiale), (4) un quasi incidente o "mancato incidente" (ossia, un evento non sicuro in cui lesioni, danni o perdite sono stati fortuitamente evitati con un margine ristretto) e (5) l'esistenza di un potenziale incidente (ossia, eventi non sicuri che avrebbero potuto provocare lesioni, danni , o perdita, ma, a causa delle circostanze, non ha provocato nemmeno un quasi incidente).

Si possono distinguere tre tipi fondamentali di errore umano in un HAS:

1. scivoloni e errori basati sull'abilità
2. errori basati sulle regole
3. errori basati sulla conoscenza.

Questa tassonomia, ideata da Reason (1990), si basa su una modifica della classificazione abilità-regola-conoscenza delle prestazioni umane di Rasmussen come descritto sopra. A livello basato sull'abilità, le prestazioni umane sono governate da modelli memorizzati di istruzioni pre-programmate rappresentate come strutture analogiche in un dominio spazio-temporale. Il livello basato su regole è applicabile per affrontare problemi familiari in cui le soluzioni sono governate da regole memorizzate (chiamate "produzioni", poiché vi si accede, o si producono, quando necessario). Queste regole richiedono che vengano fatte determinate diagnosi (o giudizi), o che vengano intraprese determinate azioni correttive, dato che si sono verificate determinate condizioni che richiedono una risposta adeguata. A questo livello, gli errori umani sono tipicamente associati all'errata classificazione delle situazioni, che porta all'applicazione della regola sbagliata o al richiamo errato di sentenze o procedure conseguenti. Gli errori basati sulla conoscenza si verificano in nuove situazioni per le quali le azioni devono essere pianificate "on-line" (in un dato momento), utilizzando processi analitici consapevoli e conoscenza immagazzinata. Gli errori a questo livello derivano da limitazioni delle risorse e conoscenze incomplete o errate.

I sistemi generici di modellazione degli errori (GEMS) proposti da Reason (1990), che tenta di individuare le origini dei tipi di errore umano di base, possono essere utilizzati per derivare la tassonomia complessiva del comportamento umano in un HAS. GEMS cerca di integrare due aree distinte di ricerca sugli errori: (1) errori e errori, in cui le azioni si discostano dall'intenzione attuale a causa di errori di esecuzione e/o errori di archiviazione e (2) errori, in cui le azioni possono essere eseguite secondo il piano, ma il piano è inadeguato per raggiungere il risultato desiderato.

Valutazione e Prevenzione del Rischio in CIM

Secondo l'ISO (1991), la valutazione del rischio in CIM dovrebbe essere eseguita in modo da minimizzare tutti i rischi e servire come base per determinare gli obiettivi e le misure di sicurezza nello sviluppo di programmi o piani sia per creare un ambiente di lavoro sicuro sia per garantire anche la sicurezza e la salute del personale. Ad esempio, i rischi sul lavoro negli ambienti HAS basati sulla produzione possono essere caratterizzati come segue: (1) l'operatore umano potrebbe dover entrare nella zona di pericolo durante le attività di ripristino, assistenza e manutenzione, (2) la zona di pericolo è difficile da determinare, percepire e controllare, (3) il lavoro può essere monotono e (4) gli incidenti che si verificano all'interno di sistemi di produzione integrati da computer sono spesso gravi. Ogni pericolo identificato dovrebbe essere valutato per il suo rischio e dovrebbero essere determinate e implementate adeguate misure di sicurezza per ridurre al minimo tale rischio. I pericoli dovrebbero essere accertati anche rispetto a tutti i seguenti aspetti di un dato processo: la singola unità stessa; l'interazione tra le singole unità; le sezioni operative del sistema; e il funzionamento del sistema completo per tutte le modalità e condizioni operative previste, comprese le condizioni in cui i normali mezzi di protezione sono sospesi per operazioni quali programmazione, verifica, risoluzione dei problemi, manutenzione o riparazione.

La fase di progettazione della strategia di sicurezza ISO (1991) per CIM comprende:

• specificazione dei limiti dei parametri di sistema
• applicazione di una strategia di sicurezza
• identificazione dei pericoli
• valutazione dei rischi associati
• rimozione dei pericoli o diminuzione dei rischi per quanto praticabile.

La specifica di sicurezza del sistema dovrebbe includere:

• una descrizione delle funzioni del sistema
• un layout e/o un modello di sistema
• i risultati di un'indagine condotta per indagare l'interazione tra diversi processi lavorativi e attività manuali
• un'analisi delle sequenze di processo, inclusa l'interazione manuale
• una descrizione delle interfacce con trasportatori o linee di trasporto
• diagrammi di flusso di processo
• piani di fondazione
• piani per la fornitura e lo smaltimento dei dispositivi
• determinazione dello spazio necessario per l'approvvigionamento e lo smaltimento del materiale
• registri degli infortuni disponibili.

In conformità con l'ISO (1991), tutti i requisiti necessari per garantire un funzionamento sicuro del sistema CIM devono essere considerati nella progettazione di procedure sistematiche di pianificazione della sicurezza. Ciò include tutte le misure protettive per ridurre efficacemente i pericoli e richiede:

• integrazione dell'interfaccia uomo-macchina
• definizione anticipata della posizione di coloro che lavorano al sistema (nel tempo e nello spazio)
• considerazione precoce dei modi per ridurre il lavoro isolato
• considerazione degli aspetti ambientali.

La procedura di pianificazione della sicurezza dovrebbe affrontare, tra gli altri, i seguenti problemi di sicurezza del CIM:

• Selezione delle modalità di funzionamento del sistema. L'apparecchiatura di controllo dovrebbe prevedere almeno le seguenti modalità operative: (1) modalità normale o di produzione (ovvero, con tutte le normali protezioni collegate e funzionanti), (2) funzionamento con alcune delle normali protezioni sospese e (3) funzionamento in quale sistema o l'avvio manuale remoto di situazioni pericolose è impedito (ad esempio, in caso di funzionamento locale o di isolamento dell'alimentazione o blocco meccanico di condizioni pericolose).
• Formazione, installazione, messa in servizio e collaudo funzionale. Quando è necessario che il personale si trovi nella zona di pericolo, nel sistema di controllo devono essere previste le seguenti misure di sicurezza: (1) mantenimento della marcia, (2) dispositivo di abilitazione, (3) velocità ridotta, (4) potenza ridotta e (5 ) arresto di emergenza mobile.
• Sicurezza nella programmazione, manutenzione e riparazione del sistema. Durante la programmazione, solo il programmatore dovrebbe essere ammesso nello spazio protetto. Il sistema dovrebbe disporre di procedure di ispezione e manutenzione per garantire il funzionamento continuo previsto del sistema. Il programma di ispezione e manutenzione dovrebbe tenere conto delle raccomandazioni del fornitore del sistema e di quelle dei fornitori dei vari elementi del sistema. È superfluo menzionare che il personale addetto alla manutenzione o alla riparazione del sistema dovrebbe essere addestrato nelle procedure necessarie per eseguire le attività richieste.
• Eliminazione dei guasti. Laddove sia necessaria l'eliminazione del guasto dall'interno dello spazio protetto, dovrebbe essere eseguita dopo la disconnessione sicura (o, se possibile, dopo l'attivazione di un meccanismo di blocco). Devono essere prese ulteriori misure contro l'attivazione errata di situazioni pericolose. Laddove durante l'eliminazione dei guasti possono verificarsi pericoli su sezioni dell'impianto o sulle macchine di impianti o macchine adiacenti, anche questi dovrebbero essere messi fuori servizio e protetti contro l'avviamento inaspettato. Per mezzo di segnali di avvertenza e di avvertenza, si dovrebbe richiamare l'attenzione sull'eliminazione dei guasti nei componenti del sistema che non possono essere osservati completamente.

Controllo dei disturbi del sistema

In molte installazioni HAS utilizzate nell'area di produzione integrata da computer, gli operatori umani sono generalmente necessari allo scopo di attività di controllo, programmazione, manutenzione, preimpostazione, assistenza o risoluzione dei problemi. I disturbi nel sistema portano a situazioni che rendono necessario l'ingresso dei lavoratori nelle aree pericolose. A questo proposito, si può presumere che i disturbi rimangano la ragione più importante dell'interferenza umana nel CIM, perché i sistemi saranno programmati il ​​più delle volte dall'esterno delle aree riservate. Uno degli aspetti più importanti per la sicurezza del CIM è la prevenzione dei disturbi, poiché la maggior parte dei rischi si verifica nella fase di risoluzione dei problemi del sistema. La prevenzione delle perturbazioni è l'obiettivo comune per quanto riguarda sia la sicurezza che l'efficacia in termini di costi.

Un disturbo in un sistema CIM è uno stato o una funzione di un sistema che devia dallo stato pianificato o desiderato. Oltre alla produttività, i disturbi durante il funzionamento di un CIM hanno un effetto diretto sulla sicurezza delle persone coinvolte nel funzionamento del sistema. Uno studio finlandese (Kuivanen 1990) ha dimostrato che circa la metà dei disturbi nella produzione automatizzata riduce la sicurezza dei lavoratori. Le principali cause di disturbo sono state gli errori nella progettazione del sistema (34%), i guasti dei componenti del sistema (31%), l'errore umano (20%) e fattori esterni (15%). La maggior parte dei guasti alle macchine è stata causata dal sistema di controllo e, nel sistema di controllo, la maggior parte dei guasti si è verificata nei sensori. Un modo efficace per aumentare il livello di sicurezza degli impianti CIM è ridurre il numero di disturbi. Sebbene le azioni umane nei sistemi disturbati prevengano il verificarsi di incidenti nell'ambiente HAS, vi contribuiscono anche. Ad esempio, uno studio sugli incidenti relativi a malfunzionamenti dei sistemi di controllo tecnico ha mostrato che circa un terzo delle sequenze di incidenti includeva l'intervento umano nel circuito di controllo del sistema disturbato.

I principali temi di ricerca nella prevenzione dei disturbi CIM riguardano (1) principali cause di disturbi, (2) componenti e funzioni inaffidabili, (3) l'impatto dei disturbi sulla sicurezza, (4) l'impatto dei disturbi sulla funzione del sistema, ( 5) danni materiali e (6) riparazioni. La sicurezza degli HAS dovrebbe essere pianificata all'inizio della fase di progettazione del sistema, con la dovuta considerazione della tecnologia, delle persone e dell'organizzazione, ed essere parte integrante dell'intero processo di pianificazione tecnica degli HAS.

HAS Design: sfide future

Per garantire il massimo vantaggio dai sistemi automatizzati ibridi come discusso in precedenza, è necessaria una visione molto più ampia dello sviluppo del sistema, basata sull'integrazione di persone, organizzazione e tecnologia. Tre tipi principali di integrazione di sistema dovrebbero essere applicati qui:

1. integrazione delle persone, assicurando una comunicazione efficace tra loro
2. integrazione uomo-macchina, progettando interfacce e interazioni adeguate tra persone e computer
3. integrazione tecnologica, garantendo un efficace interfacciamento e interazione tra le macchine.

I requisiti minimi di progettazione per i sistemi automatizzati ibridi dovrebbero includere quanto segue: (1) flessibilità, (2) adattamento dinamico, (3) migliore reattività e (4) necessità di motivare le persone e fare un uso migliore delle loro capacità, giudizio ed esperienza . Quanto sopra richiede anche che le strutture organizzative, le pratiche di lavoro e le tecnologie HAS siano sviluppate per consentire alle persone a tutti i livelli del sistema di adattare le proprie strategie di lavoro alla varietà delle situazioni di controllo dei sistemi. Pertanto, le organizzazioni, le pratiche di lavoro e le tecnologie di HAS dovranno essere progettate e sviluppate come sistemi aperti (Kidd 1994).

Un sistema automatizzato ibrido aperto (OHAS) è un sistema che riceve input e invia output al suo ambiente. L'idea di un sistema aperto può essere applicata non solo alle architetture di sistema e alle strutture organizzative, ma anche alle pratiche di lavoro, alle interfacce uomo-macchina, al rapporto tra persone e tecnologie: si possono citare, ad esempio, i sistemi di schedulazione, i sistemi di controllo e Sistema di Supporto Decisionale. Un sistema aperto è anche adattivo quando consente alle persone un ampio grado di libertà di definire la modalità di funzionamento del sistema. Ad esempio, nell'area della produzione avanzata, i requisiti di un sistema automatizzato ibrido aperto possono essere realizzati attraverso il concetto di manifattura umana e computerizzata (HCIM). In questa prospettiva, la progettazione della tecnologia dovrebbe affrontare l'architettura complessiva del sistema HCIM, inclusi i seguenti: (1) considerazioni sulla rete di gruppi, (2) la struttura di ciascun gruppo, (3) l'interazione tra i gruppi, (4) la natura del software di supporto e (5) le esigenze tecniche di comunicazione e integrazione tra i moduli software di supporto.

Il sistema automatizzato ibrido adattivo, al contrario del sistema chiuso, non limita ciò che gli operatori umani possono fare. Il ruolo del progettista di un HAS è quello di creare un sistema che soddisfi le preferenze personali dell'utente e consenta ai suoi utenti di lavorare nel modo che ritengono più appropriato. Un prerequisito per consentire l'input dell'utente è lo sviluppo di una metodologia di progettazione adattiva, ovvero un OHAS che consenta l'abilitazione della tecnologia supportata dal computer per la sua implementazione nel processo di progettazione. La necessità di sviluppare una metodologia per la progettazione adattiva è uno dei requisiti immediati per realizzare nella pratica il concetto di OHAS. È inoltre necessario sviluppare un nuovo livello di tecnologia di controllo della supervisione umana adattiva. Tale tecnologia dovrebbe consentire all'operatore umano di "vedere attraverso" il sistema di controllo altrimenti invisibile del funzionamento dell'HAS, ad esempio mediante l'applicazione di un sistema video interattivo ad alta velocità in ogni punto di controllo e funzionamento del sistema. Infine, è assolutamente necessaria anche una metodologia per lo sviluppo di un supporto computerizzato intelligente e altamente adattivo dei ruoli umani e del funzionamento umano nei sistemi automatizzati ibridi.

Di ritorno