58. Aplicações de segurança
Editores de Capítulo: Kenneth Gerecke e Charles T. Pope
Análise de Sistemas
Manh Trung Ho
Segurança para ferramentas elétricas manuais e portáteis
Departamento do Trabalho dos EUA — Administração de Segurança e Saúde Ocupacional; editado por Kenneth Gerecke
Partes móveis de máquinas
Tomas Backström e Marianne Döös
Proteção de máquinas
Departamento do Trabalho dos EUA — Administração de Saúde e Segurança Ocupacional; editado por Kenneth Gerecke
Detectores de presença
Paulo Schreiber
Dispositivos para controle, isolamento e comutação de energia
René Troxler
Aplicações relacionadas à segurança
Dietmar Reinert e Karlheinz Meffert
Software e Computadores: Sistemas Híbridos Automatizados
Waldemar Karwowski e Jozef Zurada
Princípios para o Projeto de Sistemas de Controle Seguros
Georg Vondracek
Princípios de segurança para máquinas-ferramenta CNC
Toni Retsch, Guido Schmitter e Albert Marty
Princípios de segurança para robôs industriais
Toni Retsch, Guido Schmitter e Albert Marty
Sistemas de controle relacionados à segurança elétrica, eletrônica e programável
Ron Bell
Requisitos técnicos para sistemas relacionados à segurança baseados em dispositivos elétricos, eletrônicos e eletrônicos programáveis
John Brazendale e Ron Bell
rollover
Bengt Springfeldt
Quedas de Elevações
Jean Arteau
Espaços confinados
Neil McManus
Princípios de Prevenção: Movimentação de Materiais e Tráfego Interno
Kari Hakkinen
Clique em um link abaixo para visualizar a tabela no contexto do artigo.
1. Possíveis disfunções de um circuito de controle de dois botões
2. Protetores de máquinas
3. Dispositivos/Instrumentos
4. Métodos de alimentação e ejeção
5. Combinações de estruturas de circuitos em controles de máquinas
6. Níveis de integridade de segurança para sistemas de proteção
7. Projeto e desenvolvimento de software
8. Nível de integridade de segurança: componentes do tipo B
9. Requisitos de integridade: arquiteturas de sistemas eletrônicos
10. Quedas de altitude: Quebec 1982-1987
11.Sistemas típicos de prevenção e retenção de quedas
12. Diferenças entre prevenção e retenção de quedas
13. Exemplo de formulário para avaliação de condições perigosas
14. Uma amostra de permissão de entrada
Aponte para uma miniatura para ver a legenda da figura, clique para ver a figura no contexto do artigo.
A . pode ser definido como um conjunto de componentes interdependentes combinados de forma a desempenhar uma determinada função sob condições especificadas. Uma máquina é um exemplo tangível e particularmente claro de um sistema nesse sentido, mas existem outros sistemas, envolvendo homens e mulheres em uma equipe ou em uma oficina ou fábrica, que são muito mais complexos e não tão fáceis de definir. Segurança sugere a ausência de perigo ou risco de acidente ou dano. Para evitar ambigüidade, o conceito geral de ocorrência indesejada será empregado. A segurança absoluta, no sentido da impossibilidade de ocorrência de um incidente mais ou menos infeliz, não é atingível; realisticamente, deve-se almejar uma probabilidade muito baixa, em vez de zero, de ocorrências indesejadas.
Um determinado sistema pode ser considerado seguro ou inseguro apenas com relação ao desempenho que é realmente esperado dele. Com isso em mente, o nível de segurança de um sistema pode ser definido da seguinte forma: “Para qualquer conjunto de ocorrências indesejadas, o nível de segurança (ou insegurança) de um sistema é determinado pela probabilidade dessas ocorrências ocorrerem em um determinado período de tempo". Exemplos de ocorrências indesejadas que seriam de interesse na presente conexão incluem: múltiplas fatalidades, morte de uma ou várias pessoas, ferimentos graves, ferimentos leves, danos ao meio ambiente, efeitos nocivos sobre os seres vivos, destruição de plantas ou edifícios e grandes ou dano limitado de material ou equipamento.
Finalidade da Análise do Sistema de Segurança
O objetivo de uma análise de segurança do sistema é determinar os fatores que influenciam a probabilidade de ocorrências indesejadas, estudar a maneira como essas ocorrências ocorrem e, finalmente, desenvolver medidas preventivas para reduzir sua probabilidade.
A fase analítica do problema pode ser dividida em dois aspectos principais:
Uma vez estudadas as diversas disfunções e suas consequências, os analistas de segurança do sistema podem direcionar sua atenção para medidas preventivas. A pesquisa nesta área será baseada diretamente em descobertas anteriores. Esta investigação de meios preventivos segue os dois principais aspectos da análise de segurança do sistema.
Métodos de Análise
A análise de segurança do sistema pode ser realizada antes ou depois do evento (a priori ou a posteriori); em ambos os casos, o método usado pode ser direto ou reverso. Uma análise a priori ocorre antes da ocorrência indesejada. O analista pega um certo número dessas ocorrências e se propõe a descobrir os vários estágios que podem levar a elas. Em contrapartida, uma análise a posteriori é realizada após a ocorrência da ocorrência indesejada. O seu objetivo é fornecer orientações para o futuro e, especificamente, tirar quaisquer conclusões que possam ser úteis para eventuais análises a priori posteriores.
Embora possa parecer que uma análise a priori seria muito mais valiosa do que uma análise a posteriori, uma vez que precede o incidente, as duas são de fato complementares. Qual método é usado depende da complexidade do sistema envolvido e do que já se sabe sobre o assunto. No caso de sistemas tangíveis, como máquinas ou instalações industriais, a experiência anterior geralmente pode servir para preparar uma análise a priori bastante detalhada. No entanto, mesmo assim a análise não é necessariamente infalível e certamente beneficiará de uma posterior análise a posteriori baseada essencialmente no estudo dos incidentes ocorridos no decurso da operação. Quanto a sistemas mais complexos envolvendo pessoas, como turnos de trabalho, oficinas ou fábricas, a análise a posteriori é ainda mais importante. Nesses casos, a experiência passada nem sempre é suficiente para permitir uma análise a priori detalhada e confiável.
Uma análise a posteriori pode se transformar em uma análise a priori, pois o analista vai além do processo único que levou ao incidente em questão e começa a examinar as várias ocorrências que poderiam razoavelmente levar a tal incidente ou a incidentes semelhantes.
Outra forma pela qual uma análise a posteriori pode se tornar uma análise a priori é quando a ênfase é colocada não na ocorrência (cuja prevenção é o objetivo principal da presente análise) mas em incidentes menos graves. Estas ocorrências, como percalços técnicos, danos materiais e acidentes potenciais ou menores, de relativa pouca significância em si, podem ser identificadas como sinais de alerta para ocorrências mais graves. Nestes casos, ainda que efectuada a posteriori à ocorrência de incidentes de menor gravidade, a análise será feita a priori relativamente a ocorrências de maior gravidade que ainda não tenham ocorrido.
Existem dois métodos possíveis de estudar o mecanismo ou a lógica por trás da sequência de dois ou mais eventos:
A Figura 1 é um diagrama de um circuito de controle que requer dois botões (B1 e B2) a serem pressionados simultaneamente para ativar a bobina do relé (R) e dar partida na máquina. Este exemplo pode ser usado para ilustrar, em termos práticos, a diretamente e a reverso métodos usados na análise de segurança do sistema.
Figura 1. Circuito de controle de dois botões
Método direto
No método direto, o analista começa por (1) listar falhas, disfunções e desajustes, (2) estudar seus efeitos e (3) determinar se esses efeitos são ou não uma ameaça à segurança. No caso da figura 1, podem ocorrer as seguintes falhas:
O analista pode então deduzir as consequências dessas falhas, e os resultados podem ser apresentados em forma de tabela (tabela 1).
Tabela 1. Possíveis disfunções de um circuito de controle de dois botões e suas consequências
Falhas |
Consequências |
Quebra no fio entre 2 e 2' |
Impossível ligar a máquina* |
Fechamento acidental de B1 (ou B2 ) |
Nenhuma consequência imediata |
Contato em C1 (ou C2 ) como resultado de |
Nenhuma consequência imediata, mas a possibilidade do |
Curto-circuito entre 1 e 1' |
Ativação da bobina do relé R - partida acidental de |
* Ocorrência com influência direta na confiabilidade do sistema
** Ocorrência responsável por grave redução do nível de segurança do sistema
*** Ocorrência perigosa a ser evitada
Ver texto e figura 1.
Na tabela 1, as consequências perigosas ou susceptíveis de reduzir seriamente o nível de segurança do sistema podem ser designadas por sinais convencionais como ***.
Observação: Na tabela 1, uma quebra no fio entre 2 e 2' (mostrado na figura 1) resulta em uma ocorrência que não é considerada perigosa. Não tem efeito direto na segurança do sistema; no entanto, a probabilidade de tal incidente ocorrer tem uma relação direta com a confiabilidade do sistema.
O método direto é particularmente apropriado para simulação. A Figura 2 mostra um simulador analógico projetado para estudar a segurança dos circuitos de controle de prensa. A simulação do circuito de controle permite verificar que, desde que não haja falha, o circuito é realmente capaz de garantir o funcionamento requerido sem infringir os critérios de segurança. Além disso, o simulador pode permitir ao analista introduzir falhas nos vários componentes do circuito, observar suas consequências e, assim, distinguir aqueles circuitos bem projetados (com poucas ou nenhuma falha perigosa) daqueles mal projetados. Este tipo de análise de segurança também pode ser realizado usando um computador.
Figura 2. Simulador para estudo de circuitos de controle de prensas
método reverso
No método reverso, o analista retrocede a partir da ocorrência indesejável, incidente ou acidente, em direção aos diversos eventos anteriores para determinar quais podem ser capazes de resultar nas ocorrências a serem evitadas. Na figura 1, a última ocorrência a ser evitada seria a partida involuntária da máquina.
Os resultados dessa análise podem ser representados em um diagrama que se assemelha a uma árvore (por isso o método inverso é conhecido como “análise de árvore de falhas”), conforme ilustrado na figura 3.
Figura 3. Possível cadeia de eventos
O diagrama segue operações lógicas, sendo as mais importantes as operações “OU” e “E”. A operação “OU” significa que [X1] ocorrerá se [A] ou [B] (ou ambos) ocorrer. A operação “E” significa que antes de [X2] pode ocorrer, tanto [C] quanto [D] devem ter ocorrido (consulte a figura 4).
Figura 4. Representação de duas operações lógicas
O método inverso é muito usado na análise a priori de sistemas tangíveis, especialmente nas indústrias química, aeronáutica, espacial e nuclear. Também foi considerado extremamente útil como método para investigar acidentes industriais.
Embora sejam muito diferentes, os métodos direto e reverso são complementares. O método direto é baseado em um conjunto de falhas ou disfunções, e o valor de tal análise depende, portanto, em grande parte da relevância das várias disfunções consideradas no início. Visto sob esta luz, o método inverso parece ser mais sistemático. Dado o conhecimento de que tipos de acidentes ou incidentes podem acontecer, o analista pode, em teoria, aplicar esse método para trabalhar todas as disfunções ou combinações de disfunções capazes de provocá-los. Porém, como nem todos os comportamentos perigosos de um sistema são necessariamente conhecidos antecipadamente, eles podem ser descobertos pelo método direto, aplicado por simulação, por exemplo. Uma vez descobertos, os perigos podem ser analisados em maior detalhe pelo método inverso.
Problemas de Análise de Segurança do Sistema
Os métodos analíticos descritos acima não são apenas processos mecânicos que precisam apenas ser aplicados automaticamente para chegar a conclusões úteis para melhorar a segurança do sistema. Pelo contrário, os analistas encontram uma série de problemas no decorrer de seu trabalho, e a utilidade de suas análises dependerá em grande parte de como eles se propõem a resolvê-los. Alguns dos problemas típicos que podem surgir são descritos abaixo.
Entendendo o sistema a ser estudado e suas condições de operação
Os problemas fundamentais em qualquer análise de segurança do sistema são a definição do sistema a ser estudado, suas limitações e as condições sob as quais ele deve operar ao longo de sua existência.
Se o analista levar em conta um subsistema muito limitado, o resultado pode ser a adoção de uma série de medidas preventivas aleatórias (situação em que tudo se volta para prevenir determinados tipos de ocorrência, enquanto perigos igualmente graves são ignorados ou subestimados ). Se, por outro lado, o sistema considerado for muito abrangente ou geral em relação a um determinado problema, pode resultar em excessiva imprecisão de conceito e responsabilidades, e a análise pode não levar à adoção de medidas preventivas adequadas.
Um exemplo típico que ilustra o problema de definição do sistema a ser estudado é a segurança de máquinas ou instalações industriais. Nesse tipo de situação, o analista pode ser tentado a considerar apenas o equipamento real, negligenciando o fato de que ele deve ser operado ou controlado por uma ou mais pessoas. Simplificações desse tipo às vezes são válidas. No entanto, o que tem de ser analisado não é apenas o subsistema máquina, mas todo o sistema trabalhador-máquina nas várias fases da vida útil do equipamento (incluindo, por exemplo, transporte e manuseamento, montagem, teste e ajuste, funcionamento normal , manutenção, desmontagem e, em alguns casos, destruição). Em cada estágio a máquina faz parte de um sistema específico cuja finalidade e modos de funcionamento e mau funcionamento são totalmente diferentes dos do sistema em outros estágios. Deve, portanto, ser concebido e fabricado de forma a permitir o desempenho da função requerida em boas condições de segurança em cada uma das fases.
De forma mais geral, no que diz respeito aos estudos de segurança nas empresas, existem vários níveis de sistema: a máquina, o posto de trabalho, o turno, o departamento, a fábrica e a empresa como um todo. Dependendo de qual nível do sistema está sendo considerado, os possíveis tipos de disfunção – e as medidas preventivas relevantes – são bem diferentes. Uma boa política de prevenção deve ter em conta as disfunções que podem ocorrer a vários níveis.
As condições de funcionamento do sistema podem ser definidas em função do modo como o sistema deve funcionar e das condições ambientais a que pode estar sujeito. Essa definição deve ser realista o suficiente para permitir as condições reais nas quais o sistema provavelmente operará. Um sistema que é muito seguro apenas em uma faixa operacional muito restrita pode não ser tão seguro se o usuário não conseguir se manter dentro da faixa operacional teórica prescrita. Um sistema seguro deve, portanto, ser robusto o suficiente para suportar variações razoáveis nas condições em que funciona e deve tolerar certos erros simples, mas previsíveis, por parte dos operadores.
Modelagem do sistema
Muitas vezes é necessário desenvolver um modelo para analisar a segurança de um sistema. Isso pode levantar alguns problemas que valem a pena examinar.
Para um sistema conciso e relativamente simples como uma máquina convencional, o modelo é quase diretamente derivado das descrições dos componentes materiais e suas funções (motores, transmissão, etc.) e a maneira como esses componentes estão inter-relacionados. O número de possíveis modos de falha de componentes é igualmente limitado.
Máquinas modernas, como computadores e robôs, que contêm componentes complexos como microprocessadores e circuitos eletrônicos com integração em grande escala, representam um problema especial. Este problema não foi totalmente resolvido em termos de modelagem ou de previsão dos diferentes modos de falha possíveis, porque há muitos transistores elementares em cada chip e devido ao uso de diversos tipos de software.
Quando o sistema a ser analisado é uma organização humana, um problema interessante encontrado na modelagem reside na escolha e definição de certos componentes não materiais ou não totalmente materiais. Uma determinada estação de trabalho pode ser representada, por exemplo, por um sistema composto por trabalhadores, software, tarefas, máquinas, materiais e ambiente. (O componente “tarefa” pode ser difícil de definir, pois não é a tarefa prescrita que conta, mas a tarefa como ela é realmente executada).
Ao modelar organizações humanas, o analista pode optar por dividir o sistema em consideração em um subsistema de informação e um ou mais subsistemas de ação. A análise de falhas em diferentes estágios do subsistema de informação (aquisição, transmissão, processamento e uso da informação) pode ser altamente instrutiva.
Problemas associados a vários níveis de análise
Os problemas associados a vários níveis de análise geralmente se desenvolvem porque, a partir de uma ocorrência indesejada, o analista pode voltar a incidentes cada vez mais remotos no tempo. Dependendo do nível de análise considerado, varia a natureza das disfunções que ocorrem; o mesmo se aplica às medidas preventivas. É importante ser capaz de decidir em que nível a análise deve ser interrompida e em que nível a ação preventiva deve ser tomada. Um exemplo é o caso simples de um acidente decorrente de uma falha mecânica causada pela utilização repetida de uma máquina em condições anormais. Isso pode ter sido causado por falta de treinamento do operador ou por má organização do trabalho. Dependendo do nível de análise considerado, a ação preventiva necessária pode ser a substituição da máquina por outra capaz de suportar condições de uso mais severas, o uso da máquina somente em condições normais, mudanças no treinamento de pessoal ou reorganização de trabalhar.
A eficácia e o alcance de uma medida preventiva dependem do nível em que ela é introduzida. A ação preventiva nas imediações da ocorrência indesejada tem maior probabilidade de ter um impacto direto e rápido, mas seus efeitos podem ser limitados; por outro lado, retrocedendo razoavelmente na análise dos eventos, deveria ser possível encontrar tipos de disfunções comuns a numerosos acidentes. Qualquer ação preventiva tomada nesse nível terá um escopo muito mais amplo, mas sua eficácia pode ser menos direta.
Tendo em mente que existem vários níveis de análise, também pode haver vários padrões de ação preventiva, cada um dos quais carrega sua própria parcela do trabalho de prevenção. Este é um ponto extremamente importante, e basta retornar ao exemplo do acidente atualmente em consideração para apreciar o fato. Propor a substituição da máquina por outra capaz de suportar condições de uso mais severas coloca o ônus da prevenção sobre a máquina. Decidir que a máquina deve ser usada apenas em condições normais significa colocar o ônus no usuário. Da mesma forma, o ônus pode recair sobre a formação de pessoal, organização do trabalho ou simultaneamente sobre a máquina, o usuário, a função de treinamento e a função de organização.
Para qualquer nível de análise, um acidente muitas vezes parece ser a consequência da combinação de várias disfunções ou desajustes. Dependendo se a ação é tomada em uma disfunção ou outra, ou em várias simultaneamente, o padrão de ação preventiva adotado variará.
As ferramentas são uma parte tão comum de nossas vidas que às vezes é difícil lembrar que elas podem representar perigos. Todas as ferramentas são fabricadas com a segurança em mente, mas ocasionalmente pode ocorrer um acidente antes que os perigos relacionados à ferramenta sejam reconhecidos. Os trabalhadores devem aprender a reconhecer os perigos associados aos diferentes tipos de ferramentas e as precauções de segurança necessárias para prevenir esses perigos. Equipamentos de proteção individual apropriados, como óculos de segurança ou luvas, devem ser usados para proteção contra perigos potenciais que podem ser encontrados durante o uso de ferramentas elétricas portáteis e ferramentas manuais.
Ferramentas manuais
As ferramentas manuais não são motorizadas e incluem tudo, desde machados a chaves. Os maiores perigos representados pelas ferramentas manuais resultam do uso indevido, uso da ferramenta errada para o trabalho e manutenção inadequada. Alguns dos perigos associados ao uso de ferramentas manuais incluem, entre outros:
O empregador é responsável pela condição segura das ferramentas e equipamentos fornecidos aos funcionários, mas os funcionários têm a responsabilidade de usar e manter as ferramentas adequadamente. Os trabalhadores devem direcionar as lâminas de serra, facas ou outras ferramentas para longe das áreas dos corredores e de outros funcionários que trabalham nas proximidades. Facas e tesouras devem ser mantidas afiadas, pois ferramentas cegas podem ser mais perigosas do que as afiadas. (Veja a figura 1.)
Figura 1. Uma chave de fenda
A segurança exige que os pisos sejam mantidos o mais limpos e secos possível para evitar escorregões acidentais ao trabalhar com ou perto de ferramentas manuais perigosas. Embora as faíscas produzidas por ferramentas manuais de ferro e aço normalmente não sejam quentes o suficiente para serem fontes de ignição, ao trabalhar com ou próximo a materiais inflamáveis, ferramentas resistentes a faíscas feitas de latão, plástico, alumínio ou madeira podem ser usadas para evitar a formação de faíscas.
Power Tools
As ferramentas elétricas são perigosas quando usadas incorretamente. Existem vários tipos de ferramentas elétricas, geralmente categorizadas de acordo com a fonte de energia (elétrica, pneumática, combustível líquido, hidráulica, vapor e pólvora explosiva acionada). Os funcionários devem ser qualificados ou treinados no uso de todas as ferramentas elétricas usadas em seu trabalho. Eles devem entender os perigos potenciais associados ao uso de ferramentas elétricas e observar as seguintes precauções gerais de segurança para evitar que esses perigos ocorram:
guardas de proteção
Partes móveis perigosas de ferramentas elétricas precisam ser protegidas. Por exemplo, correias, engrenagens, eixos, polias, rodas dentadas, fusos, tambores, volantes, correntes ou outras partes alternativas, rotativas ou móveis do equipamento devem ser protegidas se tais partes forem expostas ao contato dos trabalhadores. Quando necessário, devem ser fornecidas proteções para proteger o operador e outras pessoas com relação aos perigos associados a:
As proteções de segurança nunca devem ser removidas quando uma ferramenta estiver sendo usada. Por exemplo, serras circulares portáteis devem estar equipadas com proteções. Uma proteção superior deve cobrir toda a lâmina da serra. Uma proteção inferior retrátil deve cobrir os dentes da serra, exceto quando entrar em contato com o material de trabalho. A proteção inferior deve retornar automaticamente à posição de cobertura quando a ferramenta é retirada do trabalho. Observe os protetores de lâmina na ilustração de uma serra elétrica (figura 2).
Figura 2. Uma serra circular com proteção
Interruptores e controles de segurança
A seguir, exemplos de ferramentas elétricas manuais que devem ser equipadas com um interruptor de controle “liga-desliga” de contato momentâneo:
Essas ferramentas também podem ser equipadas com um controle de bloqueio, desde que o desligamento possa ser realizado por um único movimento do mesmo dedo ou dedos que o ligam.
As seguintes ferramentas elétricas manuais podem ser equipadas apenas com um interruptor de controle “liga-desliga” positivo:
Outras ferramentas elétricas portáteis que devem ser equipadas com um pressostato constante que desligará a energia quando a pressão for liberada incluem:
Ferramentas Elétricas
Os trabalhadores que utilizam ferramentas elétricas devem estar cientes de vários perigos. A mais grave delas é a possibilidade de eletrocussão, seguida de queimaduras e choques leves. Sob certas condições, mesmo uma pequena quantidade de corrente pode resultar em fibrilação do coração que pode resultar em morte. Um choque também pode fazer com que um trabalhador caia de uma escada ou de outras superfícies de trabalho elevadas.
Para reduzir o potencial de lesões aos trabalhadores por choque, as ferramentas devem ser protegidas por pelo menos um dos seguintes meios:
Figura 3. Uma furadeira elétrica
Estas práticas gerais de segurança devem ser seguidas ao usar ferramentas elétricas:
Discos abrasivos motorizados
Rebolos abrasivos motorizados, corte, polimento e rebolos de polimento criam problemas especiais de segurança porque os rebolos podem se desintegrar e lançar fragmentos projetados.
Antes que as rodas abrasivas sejam montadas, elas devem ser inspecionadas de perto e testadas quanto ao som (ou anel) batendo suavemente com um instrumento leve não metálico para garantir que estejam livres de rachaduras ou defeitos. Se as rodas estiverem rachadas ou parecerem mortas, elas podem se soltar durante a operação e não devem ser usadas. Uma roda sólida e sem danos dará um tom metálico claro ou “toque”.
Para evitar que a roda rache, o usuário deve certificar-se de que ela se encaixe livremente no fuso. A porca do eixo deve ser apertada o suficiente para manter a roda no lugar sem distorcer o flange. Siga as recomendações do fabricante. Deve-se tomar cuidado para garantir que a roda do fuso não exceda as especificações da roda abrasiva. Devido à possibilidade de uma roda se desintegrar (explodir) durante a partida, o trabalhador nunca deve ficar diretamente na frente da roda, pois ela acelera até a velocidade máxima de operação. As ferramentas de retificação portáteis precisam ser equipadas com proteções de segurança para proteger os trabalhadores não apenas da superfície da roda em movimento, mas também de fragmentos lançados em caso de quebra. Além disso, ao usar um moedor elétrico, estas precauções devem ser observadas:
Ferramentas pneumáticas
As ferramentas pneumáticas são alimentadas por ar comprimido e incluem picadores, furadeiras, martelos e lixadeiras. Embora existam vários perigos potenciais encontrados no uso de ferramentas pneumáticas, o principal é o perigo de ser atingido por um dos acessórios da ferramenta ou por algum tipo de prendedor que o trabalhador esteja usando com a ferramenta. Proteção ocular é necessária e proteção facial é recomendada ao trabalhar com ferramentas pneumáticas. O ruído é outro perigo. Trabalhar com ferramentas barulhentas, como britadeiras, requer o uso adequado e eficaz de proteção auditiva apropriada.
Ao usar uma ferramenta pneumática, o trabalhador deve verificar se ela está bem presa à mangueira para evitar a desconexão. Um fio curto ou dispositivo de travamento positivo conectando a mangueira de ar à ferramenta servirá como proteção adicional. Se uma mangueira de ar tiver mais de 1.27 cm (½ polegada) de diâmetro, uma válvula de excesso de fluxo de segurança deve ser instalada na fonte do suprimento de ar para desligar o ar automaticamente caso a mangueira quebre. Em geral, os mesmos cuidados devem ser tomados com uma mangueira de ar que são recomendados para cabos elétricos, pois a mangueira está sujeita ao mesmo tipo de dano ou choque acidental, além de apresentar risco de tropeço.
As armas de ar comprimido nunca devem ser apontadas para ninguém. Os trabalhadores nunca devem “descartar” o bocal contra si mesmos ou contra qualquer outra pessoa. Um clipe ou retentor de segurança deve ser instalado para evitar que acessórios, como um cinzel em um martelo picador, sejam disparados acidentalmente do cano. Telas devem ser instaladas para proteger os trabalhadores próximos de serem atingidos por fragmentos voadores ao redor de picadores, pistolas de rebitagem, martelos pneumáticos, grampeadores ou furadeiras pneumáticas.
As pistolas de pulverização sem ar que atomizam tintas e fluidos em altas pressões (1,000 libras ou mais por polegada quadrada) devem ser equipadas com dispositivos de segurança visual automáticos ou manuais que impedirão a ativação até que o dispositivo de segurança seja liberado manualmente. Britadeiras pesadas podem causar fadiga e tensões que podem ser reduzidas pelo uso de pegas de borracha pesadas que fornecem um apoio seguro. Um trabalhador operando uma britadeira deve usar óculos de segurança e sapatos de segurança para se proteger contra ferimentos se o martelo escorregar ou cair. Um protetor facial também deve ser usado.
Ferramentas movidas a combustível
As ferramentas movidas a combustível geralmente são operadas usando pequenos motores de combustão interna movidos a gasolina. Os perigos potenciais mais sérios associados ao uso de ferramentas movidas a combustível vêm de vapores de combustível perigosos que podem queimar ou explodir e liberar gases de escape perigosos. O trabalhador deve ter o cuidado de manusear, transportar e armazenar a gasolina ou combustível somente em recipientes aprovados para líquidos inflamáveis, de acordo com os procedimentos adequados para líquidos inflamáveis. Antes de reabastecer o tanque de uma ferramenta movida a combustível, o usuário deve desligar o motor e deixá-lo esfriar para evitar a ignição acidental de vapores perigosos. Se uma ferramenta movida a combustível for usada dentro de uma área fechada, ventilação eficaz e/ou equipamento de proteção são necessários para evitar a exposição ao monóxido de carbono. Extintores de incêndio devem estar disponíveis na área.
Ferramentas acionadas por pólvora explosiva
As ferramentas acionadas por pólvora explosiva funcionam como uma arma carregada e devem ser tratadas com o mesmo respeito e precauções. Na verdade, eles são tão perigosos que devem ser operados apenas por funcionários especialmente treinados ou qualificados. Proteções adequadas para os ouvidos, olhos e rosto são essenciais ao usar uma ferramenta acionada por pólvora. Todas as ferramentas acionadas por pó devem ser projetadas para cargas de pó variadas, de modo que o usuário possa selecionar um nível de pó necessário para fazer o trabalho sem força excessiva.
A ponta do cano da ferramenta deve ter um escudo protetor ou guarda centrado perpendicularmente no cano para proteger o usuário de quaisquer fragmentos ou partículas que possam criar um perigo quando a ferramenta for disparada. A ferramenta deve ser projetada para não disparar a menos que tenha esse tipo de dispositivo de segurança. Para evitar que a ferramenta dispare acidentalmente, dois movimentos separados são necessários para disparar: um para colocar a ferramenta na posição e outro para puxar o gatilho. As ferramentas não devem funcionar até que sejam pressionadas contra a superfície de trabalho com uma força de pelo menos 5 libras maior que o peso total da ferramenta.
Se uma ferramenta acionada por pólvora falhar, o usuário deve esperar pelo menos 30 segundos antes de tentar dispará-la novamente. Se ainda não disparar, o usuário deve esperar pelo menos mais 30 segundos para que o cartucho com defeito seja menos provável de explodir e, em seguida, remova cuidadosamente a carga. O cartucho danificado deve ser colocado na água ou descartado com segurança de acordo com os procedimentos do empregador.
Se uma ferramenta acionada por pólvora desenvolver um defeito durante o uso, ela deve ser etiquetada e retirada de serviço imediatamente até que seja devidamente reparada. As precauções para o uso e manuseio seguro de ferramentas acionadas por pólvora incluem o seguinte:
Ao usar ferramentas acionadas por pólvora para aplicar fixadores, as seguintes precauções de segurança devem ser consideradas:
Ferramentas Hidráulicas
O fluido utilizado nas ferramentas hidráulicas deve ser aprovado para o uso previsto e deve manter suas características de funcionamento nas temperaturas mais extremas a que será exposto. A pressão operacional segura recomendada pelo fabricante para mangueiras, válvulas, tubos, filtros e outros acessórios não deve ser excedida. Onde houver potencial para vazamento sob alta pressão em uma área onde fontes de ignição, como chamas abertas ou superfícies quentes, possam estar presentes, o uso de fluidos resistentes ao fogo como meio hidráulico deve ser considerado.
Jacks
Todos os macacos - macacos de alavanca e catraca, macacos de parafuso e macacos hidráulicos - devem ter um dispositivo que os impeça de levantar muito alto. O limite de carga do fabricante deve estar permanentemente marcado em um local de destaque no macaco e não deve ser excedido. Use blocos de madeira sob a base, se necessário, para deixar o macaco nivelado e seguro. Se a superfície do elevador for de metal, coloque um bloco de madeira dura de 1 polegada (2.54 cm) ou equivalente entre a parte inferior da superfície e a cabeça do macaco de metal para reduzir o perigo de deslizamento. Um macaco nunca deve ser usado para suportar uma carga levantada. Uma vez levantada a carga, ela deve ser imediatamente apoiada em blocos.
Para configurar um conector, certifique-se das seguintes condições:
A manutenção adequada dos macacos é essencial para a segurança. Todos os macacos devem ser inspecionados antes de cada uso e lubrificados regularmente. Se um macaco for submetido a uma carga ou choque anormal, deve ser examinado minuciosamente para garantir que não foi danificado. Macacos hidráulicos expostos a temperaturas de congelamento devem ser preenchidos com um líquido anticongelante adequado.
Sumário
Os trabalhadores que utilizam ferramentas manuais e elétricas e que estão expostos a riscos de queda, voo, objetos e materiais abrasivos e respingos, ou a perigos de poeiras, fumaças, névoas, vapores ou gases nocivos devem receber o equipamento pessoal adequado necessário para protegê-los do perigo. Todos os perigos envolvidos no uso de ferramentas elétricas podem ser evitados pelos trabalhadores seguindo cinco regras básicas de segurança:
Funcionários e empregadores têm a responsabilidade de trabalhar juntos para manter as práticas de trabalho seguras estabelecidas. Se uma ferramenta insegura ou uma situação perigosa for encontrada, ela deve ser levada ao conhecimento do indivíduo apropriado imediatamente.
Este artigo discute situações e cadeias de eventos que levam a acidentes atribuíveis ao contato com partes móveis de máquinas. As pessoas que operam e fazem a manutenção de máquinas correm o risco de se envolver em acidentes graves. As estatísticas dos EUA sugerem que 18,000 amputações e mais de 800 mortes nos Estados Unidos a cada ano são atribuíveis a essas causas. De acordo com o Instituto Nacional de Saúde e Segurança Ocupacional dos Estados Unidos (NIOSH), a categoria de lesões “presas, sob ou entre” em sua classificação teve a classificação mais alta entre os tipos mais importantes de lesões ocupacionais em 1979. Essas lesões geralmente envolviam máquinas ( Etherton e Myers 1990). O “contato com parte móvel da máquina” foi relatado como o principal evento lesivo em pouco mais de 10% dos acidentes ocupacionais desde que esta categoria foi introduzida nas estatísticas suecas de lesões ocupacionais em 1979.
A maioria das máquinas possui peças móveis que podem causar ferimentos. Essas partes móveis podem ser encontradas no ponto de operação onde o trabalho é realizado no material, como onde ocorre o corte, modelagem, mandrilamento ou deformação. Eles podem ser encontrados no aparelho que transmite energia para as partes da máquina que executa o trabalho, como volantes, polias, bielas, acopladores, cames, fusos, correntes, manivelas e engrenagens. Eles podem ser encontrados em outras partes móveis da máquina, como rodas de equipamentos móveis, motores de engrenagens, bombas, compressores e assim por diante. Movimentos perigosos de máquinas também podem ser encontrados entre outros tipos de máquinas, especialmente nas peças auxiliares de equipamentos que manuseiam e transportam cargas como peças de trabalho, materiais, resíduos ou ferramentas.
Todas as partes de uma máquina que se movem durante a execução do trabalho podem contribuir para acidentes causando ferimentos e danos. Os movimentos rotativos e lineares da máquina, bem como suas fontes de energia, podem ser perigosos:
Movimento rotativo. Mesmo eixos de rotação suaves podem prender uma peça de roupa e, por exemplo, colocar o braço de uma pessoa em uma posição perigosa. O perigo em um eixo rotativo aumenta se ele tiver partes salientes ou superfícies irregulares ou afiadas, como parafusos de ajuste, porcas, fendas, entalhes ou arestas cortantes. Peças rotativas de máquinas dão origem a “pontos de nip” de três maneiras diferentes:
Movimentos lineares. Movimentos verticais, horizontais e alternativos podem causar ferimentos de várias maneiras: uma pessoa pode receber um empurrão ou golpe de uma peça da máquina e pode ficar presa entre a peça da máquina e algum outro objeto, ou pode ser cortada por uma borda afiada, ou sofrer uma lesão por pinçamento por ficar preso entre a parte móvel e outro objeto (figura 1).
Figura 1. Exemplos de movimentos mecânicos que podem ferir uma pessoa
Fontes de energia. Freqüentemente, fontes externas de energia são empregadas para operar uma máquina que pode envolver quantidades consideráveis de energia. Estes incluem sistemas elétricos, a vapor, hidráulicos, pneumáticos e mecânicos, todos os quais, se liberados ou descontrolados, podem causar ferimentos graves ou danos. Um estudo de acidentes ocorridos durante um ano (1987 a 1988) entre agricultores em nove aldeias no norte da Índia mostrou que as máquinas de corte de forragem, todas com o mesmo design, são mais perigosas quando movidas por um motor ou trator. A frequência relativa de acidentes envolvendo mais de um ferimento leve (por máquina) foi de 5.1 por mil para cortadores manuais e 8.6 por mil para cortadores elétricos (Mohan e Patel 1992).
Lesões Associadas a Movimentos de Máquinas
Uma vez que as forças associadas aos movimentos da máquina costumam ser muito grandes, pode-se presumir que as lesões que elas provocam serão graves. Esta presunção é confirmada por várias fontes. O “contato com máquinas em movimento ou material sendo usinado” foi responsável por apenas 5% de todos os acidentes ocupacionais, mas por até 10% dos acidentes fatais e graves (fraturas, amputações e assim por diante) de acordo com estatísticas britânicas (HSE 1989). Estudos de dois locais de trabalho de fabricação de veículos na Suécia apontam na mesma direção. Os acidentes causados por movimentação de máquinas geraram o dobro de dias de afastamento por doença, medidos por valores medianos, em relação aos acidentes não relacionados a máquinas. Os acidentes relacionados com máquinas também diferiram de outros acidentes no que diz respeito à parte do corpo lesada: os resultados indicaram que 80% das lesões sofridas em acidentes “máquinas” foram nas mãos e nos dedos, enquanto a proporção correspondente para acidentes “outros” foi 40% (Backström e Döös 1995).
A situação de risco nas instalações automatizadas revelou-se tanto diferente (em termos de tipo de acidente, sequência de eventos e grau de gravidade das lesões) como mais complicada (tanto em termos técnicos como no que diz respeito à necessidade de competências especializadas) do que em instalações onde são utilizadas máquinas convencionais. O termo automatizado aqui se refere a equipamentos que, sem a intervenção direta de um ser humano, podem iniciar um movimento de máquina ou mudar sua direção ou função. Esses equipamentos requerem dispositivos sensores (por exemplo, sensores de posição ou microinterruptores) e/ou alguma forma de controle sequencial (por exemplo, um programa de computador) para direcionar e monitorar suas atividades. Nas últimas décadas, uma Controlador Lógico Programável (PLC) tem sido cada vez mais empregado como unidade de controle em sistemas de produção. Pequenos computadores são agora os meios mais comuns usados para controlar equipamentos de produção no mundo industrializado, enquanto outros meios de controle, como unidades eletromecânicas, estão se tornando cada vez menos comuns. Na indústria manufatureira sueca, o uso de máquinas controladas numericamente (NC) aumentou de 11 a 12% ao ano durante a década de 1980 (Hörte e Lindberg 1989). Na produção industrial moderna, ser ferido por “partes móveis de máquinas” está se tornando cada vez mais equivalente a ser ferido por “movimentos de máquinas controlados por computador”.
As instalações automatizadas são encontradas em cada vez mais setores da indústria e têm um número crescente de funções. O gerenciamento de lojas, manuseio de materiais, processamento, montagem e embalagem estão sendo automatizados. A produção em série passou a se assemelhar à produção em processo. Se a alimentação, usinagem e ejeção das peças de trabalho forem mecanizadas, o operador não precisa mais estar na zona de risco durante o curso da produção regular e sem interrupções. Estudos de pesquisa de fabricação automatizada mostraram que os acidentes ocorrem principalmente no tratamento de distúrbios que afetam a produção. No entanto, as pessoas também podem atrapalhar os movimentos da máquina na execução de outras tarefas, como limpeza, ajuste, reinicialização, controle e reparo.
Quando a produção é automatizada e o processo não está mais sob o controle direto do ser humano, aumenta o risco de movimentos inesperados da máquina. A maioria dos operadores que trabalham com grupos ou linhas de máquinas interligadas já experimentou tais movimentos inesperados da máquina. Muitos acidentes de automação ocorrem como resultado de tais movimentos. Um acidente de automação é um acidente em que o equipamento automático controlou (ou deveria ter controlado) a energia que deu origem à lesão. Isso significa que a força que fere a pessoa vem da própria máquina (por exemplo, a energia do movimento de uma máquina). Em um estudo de 177 acidentes de automação na Suécia, verificou-se que a lesão foi causada pela “partida inesperada” de uma parte de uma máquina em 84% dos casos (Backström e Harms-Ringdahl 1984). Um exemplo típico de lesão causada por um movimento de máquina controlado por computador é mostrado na figura 2.
Figura 2. Um exemplo típico de uma lesão causada por um movimento de máquina controlado por computador
Um dos estudos acima referidos (Backström e Döös 1995) mostrou que os movimentos de máquinas controlados automaticamente estavam causalmente ligados a períodos mais longos de baixa por doença do que lesões devido a outros tipos de movimentos de máquinas, sendo o valor médio quatro vezes superior num dos locais de trabalho . O padrão de lesões dos acidentes de automação foi semelhante ao de outros acidentes de máquinas (envolvendo principalmente mãos e dedos), mas a tendência é que os primeiros tipos de lesões sejam mais graves (amputações, esmagamentos e fraturas).
O controle por computador, assim como o manual, tem pontos fracos do ponto de vista da confiabilidade. Não há garantia de que um programa de computador funcionará sem erros. A eletrônica, com seus baixos níveis de sinal, pode ser sensível a interferências se não for devidamente protegida, e nem sempre é possível prever as conseqüências das falhas resultantes. Além disso, as mudanças de programação geralmente não são documentadas. Um método usado para compensar essa deficiência é, por exemplo, operar sistemas “duplos” nos quais existem duas cadeias independentes de componentes funcionais e um método de monitoramento de modo que ambas as cadeias exibam o mesmo valor. Se os sistemas apresentarem valores diferentes, isso indica falha em um deles. Mas existe a possibilidade de que ambas as cadeias de componentes possam sofrer da mesma falha e que ambas possam ser desordenadas pela mesma perturbação, dando assim uma leitura falsa positiva (como ambos os sistemas concordam). No entanto, apenas em alguns dos casos investigados foi possível atribuir um acidente a uma falha do computador (ver abaixo), apesar de ser comum um único computador controlar todas as funções de uma instalação (até mesmo a paragem de uma máquina como resultado da ativação de um dispositivo de segurança). Como alternativa, pode-se considerar o fornecimento de um sistema testado e comprovado com componentes eletromecânicos para funções de segurança.
Problemas técnicos
De maneira geral, pode-se dizer que um único acidente tem várias causas, incluindo técnicas, individuais, ambientais e organizacionais. Para fins preventivos, um acidente é melhor encarado não como um evento isolado, mas como um seqüência de eventos ou um processo (Backström 1996). No caso dos acidentes de automação, foi demonstrado que os problemas técnicos frequentemente fazem parte dessa sequência e ocorrem em uma das fases iniciais do processo ou próximo ao evento lesivo do acidente. Estudos em que foram examinados problemas técnicos envolvidos em acidentes de automação sugerem que estes estão por trás de 75 a 85% dos acidentes. Ao mesmo tempo, em qualquer caso específico, geralmente existem outras causas, como as de natureza organizacional. Apenas em um décimo dos casos foi descoberto que a fonte direta da energia que deu origem a uma lesão pode ser atribuída a uma falha técnica - por exemplo, um movimento da máquina ocorrendo apesar da máquina estar parada. Números semelhantes foram relatados em outros estudos. Normalmente, um problema técnico causava problemas com o equipamento, fazendo com que o operador tivesse que alternar tarefas (por exemplo, reposicionar uma peça que estava em posição torta). O acidente ocorreu então durante a execução da tarefa, motivado pela falha técnica. Um quarto dos acidentes de automação foi precedido por uma perturbação no fluxo de materiais, como uma peça que ficou presa ou ficou em uma posição torta ou defeituosa (consulte a figura 3).
Figura 3. Tipos de problemas técnicos envolvidos em acidentes de automação (número de acidentes =127)
Em um estudo de 127 acidentes envolvendo automação, 28 desses acidentes, descritos na figura 4, foram investigados posteriormente para determinar os tipos de problemas técnicos envolvidos como fatores causais (Backström e Döös, no prelo). Os problemas especificados nas investigações de acidentes foram causados com mais frequência por componentes emperrados, defeituosos ou desgastados. Em dois casos, o problema foi causado por um erro de programa de computador e em um por interferência eletromagnética. Em mais da metade dos casos (17 em 28), as falhas já existiam há algum tempo, mas não foram corrigidas. Apenas em 5 dos 28 casos em que se referiu falha técnica ou desvio, o defeito não se manifestou anteriormente. Algumas falhas foram reparadas apenas para reaparecer mais tarde. Alguns defeitos estavam presentes desde o momento da instalação, enquanto outros resultaram do desgaste e do impacto do meio ambiente.
A proporção de acidentes de automação ocorridos durante a correção de um distúrbio na produção varia entre um terço e dois terços de todos os casos, de acordo com a maioria dos estudos. Em outras palavras, há um consenso geral de que lidar com distúrbios de produção é uma tarefa ocupacional perigosa. A variação na ocorrência desses acidentes tem muitas explicações, entre elas aquelas relacionadas ao tipo de produção e à forma como as tarefas ocupacionais são classificadas. Em alguns estudos de distúrbios, foram considerados apenas problemas e paradas de máquinas durante a produção regular; em outros, tratou-se de uma gama mais ampla de problemas — por exemplo, os envolvidos na montagem do trabalho.
Uma medida muito importante na prevenção de acidentes de automação é preparar procedimentos para remover as causas dos distúrbios de produção para que eles não se repitam. Em um estudo especializado de distúrbios de produção no momento do acidente (Döös e Backström 1994), verificou-se que a tarefa mais comum a que os distúrbios davam origem era a liberação ou a correção da posição de uma peça de trabalho que havia ficado presa ou incorretamente colocada. Esse tipo de problema iniciou uma de duas sequências de eventos bastante semelhantes: (1) a peça foi liberada e voltou para sua posição correta, a máquina recebeu um sinal automático para iniciar e a pessoa foi ferida pelo movimento iniciado da máquina, (2 ) não houve tempo para a liberação ou reposicionamento da peça antes que a pessoa fosse ferida por um movimento da máquina que veio de forma inesperada, mais rápida ou com mais força do que o operador esperava. Outro tratamento de perturbação envolvia solicitar um impulso do sensor, liberar uma peça de máquina emperrada, realizar tipos simples de rastreamento de falhas e providenciar a reinicialização (consulte a figura 4).
Figura 4. Tipo de manejo da perturbação no momento do acidente (número de acidentes =76)
Segurança do Trabalhador
As categorias de pessoas que tendem a se ferir em acidentes de automação dependem de como o trabalho é organizado, ou seja, em qual grupo ocupacional executa as tarefas perigosas. Na prática, é uma questão de qual pessoa no local de trabalho é designada para lidar com problemas e perturbações rotineiramente. Na indústria sueca moderna, geralmente são exigidas intervenções ativas das pessoas que operam a máquina. É por isso que, no estudo do local de trabalho da fabricação de veículos mencionado anteriormente na Suécia (Backström e Döös, aceito para publicação), descobriu-se que 82% das pessoas que sofreram lesões por máquinas automatizadas eram trabalhadores ou operadores de produção. Os operadores também tiveram uma frequência relativa de acidentes maior (15 acidentes de automação por 1,000 operadores por ano) do que os trabalhadores de manutenção (6 por 1,000). As conclusões dos estudos que indicam que os trabalhadores de manutenção são mais afetados são, pelo menos em parte, explicadas pelo fato de que os operadores não podem entrar nas áreas de usinagem em algumas empresas. Em organizações com um tipo diferente de distribuição de tarefas, outras categorias de pessoal - montadores, por exemplo - podem receber a tarefa de resolver quaisquer problemas de produção que surjam.
A medida corretiva mais comum tomada neste contexto para aumentar o nível de segurança pessoal é proteger a pessoa dos movimentos perigosos da máquina usando algum tipo de dispositivo de segurança, como proteção de máquina. O principal princípio aqui é o da segurança “passiva” – isto é, a provisão de proteção que não requer ação por parte do trabalhador. É, no entanto, impossível julgar a eficácia dos dispositivos de proteção sem um conhecimento muito bom dos requisitos reais de trabalho na máquina em questão, uma forma de conhecimento que normalmente é possuída apenas pelos próprios operadores de máquinas.
Existem muitos fatores que podem colocar fora de ação até mesmo o que é aparentemente uma boa proteção de máquina. Para realizar seu trabalho, os operadores podem precisar desativar ou contornar um dispositivo de segurança. Em um estudo (Döös e Backström 1993), descobriu-se que tal desengajamento ou evasão ocorreu em 12 de 75 dos acidentes de automação cobertos. Muitas vezes é uma questão de ambição do operador, que não está mais disposto a aceitar os problemas de produção ou o atraso no processo de produção para corrigir os distúrbios de acordo com as instruções. Uma forma de evitar esse problema é tornar o dispositivo de proteção imperceptível, para que não afete o ritmo de produção, a qualidade do produto ou o desempenho da tarefa. Mas isso nem sempre é possível; e onde houver distúrbios repetidos na produção, mesmo pequenos inconvenientes podem levar as pessoas a não utilizarem dispositivos de segurança. Novamente, devem ser disponibilizadas rotinas para remover as causas dos distúrbios de produção para que estes não se repitam. A falta de um meio de confirmar se os dispositivos de segurança realmente funcionam de acordo com as especificações é outro fator de risco significativo. Conexões defeituosas, sinais de partida que permanecem no sistema e posteriormente dão origem a partidas inesperadas, aumento da pressão do ar e sensores que se soltaram podem causar falhas no equipamento de proteção.
Sumário
Como foi demonstrado, soluções técnicas para problemas podem dar origem a novos problemas. Embora as lesões sejam causadas por movimentos de máquinas, que são de natureza essencialmente técnica, isso não significa automaticamente que o potencial de sua erradicação resida em fatores puramente técnicos. Os sistemas técnicos continuarão a funcionar mal e as pessoas não conseguirão lidar com as situações a que essas falhas dão origem. Os riscos continuarão a existir e só podem ser controlados por uma ampla variedade de meios. Legislação e controle, medidas organizacionais em empresas individuais (na forma de treinamento, rodadas de segurança, análise de risco e relatórios de distúrbios e quase acidentes) e ênfase em melhorias constantes e contínuas são necessárias como complementos ao desenvolvimento puramente técnico.
Parece haver tantos perigos potenciais criados por peças móveis de máquinas quanto diferentes tipos de máquinas. As proteções são essenciais para proteger os trabalhadores de lesões desnecessárias e evitáveis relacionadas ao maquinário. Portanto, qualquer peça, função ou processo da máquina que possa causar ferimentos deve ser protegido. Onde a operação de uma máquina ou contato acidental com ela puder ferir o operador ou outras pessoas nas proximidades, o perigo deve ser controlado ou eliminado.
Movimentos e Ações Mecânicas
Os perigos mecânicos normalmente envolvem peças móveis perigosas nas três áreas básicas a seguir:
Uma ampla variedade de movimentos mecânicos e ações que podem apresentar riscos aos trabalhadores incluem o movimento de membros rotativos, braços alternativos, correias móveis, engrenagens engrenadas, dentes cortantes e quaisquer peças que impactam ou cisalham. Esses diferentes tipos de movimentos e ações mecânicas são básicos para quase todas as máquinas, e reconhecê-los é o primeiro passo para proteger os trabalhadores dos perigos que eles podem apresentar.
Moções
Existem três tipos básicos de movimento: rotativo, recíproco e transversal.
Movimento rotativo pode ser perigoso; mesmo eixos lisos e de rotação lenta podem prender a roupa e forçar um braço ou mão a uma posição perigosa. Lesões devido ao contato com peças rotativas podem ser graves (consulte a figura 1).
Figura 1. Prensa puncionadora mecânica
Colares, acoplamentos, cames, embreagens, volantes, pontas de eixo, fusos e eixos horizontais ou verticais são alguns exemplos de mecanismos rotativos comuns que podem ser perigosos. Há perigo adicional quando parafusos, entalhes, abrasões e chaves salientes ou parafusos de fixação são expostos em peças rotativas em máquinas, conforme mostrado na figura 2.
Figura 2. Exemplos de projeções perigosas em peças rotativas
Ponto de nip em execuçãos são criados por peças rotativas em máquinas. Existem três tipos principais de pontos de nip em execução:
Figura 3. Pontos de nip comuns em peças rotativas
Figura 4. Pontos de aperto entre elementos rotativos e peças com movimentos longitudinais
Figura 5. Pontos de aperto entre os componentes rotativos da máquina
Movimentos alternativos pode ser perigoso porque durante o movimento para frente e para trás ou para cima e para baixo, um trabalhador pode ser atingido ou ficar preso entre uma parte móvel e uma parte estacionária. Um exemplo é mostrado na figura 6.
Figura 6. Movimento alternativo perigoso
movimento transversal (movimento em linha reta e contínua) cria um risco porque um trabalhador pode ser atingido ou preso em um ponto de aperto ou cisalhamento por uma peça móvel. Um exemplo de movimento transversal é mostrado na figura 7.
Figura 7. Exemplo de movimento transversal
Opções
Existem quatro tipos básicos de ação: corte, puncionamento, cisalhamento e dobra.
Ação de corte envolve rotação, movimento alternativo ou transversal. A ação de corte cria perigos no ponto de operação onde podem ocorrer lesões nos dedos, cabeça e braço e onde lascas ou fragmentos de material podem atingir os olhos ou o rosto. Exemplos típicos de máquinas com riscos de corte incluem serras de fita, serras circulares, mandriladoras ou furadeiras, tornos (tornos) e fresadoras. (Veja a figura 8.)
Figura 8. Exemplos de riscos de corte
ação de perfuração resulta quando a energia é aplicada a um slide (ram) com a finalidade de cortar, desenhar ou estampar metal ou outros materiais. O perigo desse tipo de ação ocorre no ponto de operação onde o estoque é inserido, segurado e retirado manualmente. Máquinas típicas que usam ação de puncionamento são prensas mecânicas e ferragens. (Veja a figura 9.)
Figura 9. Operação típica de perfuração
Ação de cisalhamento envolve a aplicação de energia a uma corrediça ou faca para aparar ou cortar metal ou outros materiais. Um perigo ocorre no ponto de operação onde o material é realmente inserido, retido e retirado. Exemplos típicos de máquinas usadas para operações de cisalhamento são cisalhas acionadas mecanicamente, hidraulicamente ou pneumaticamente. (Veja a figura 10.)
Figura 10. Operação de cisalhamento
Ação de dobra resulta quando a energia é aplicada a um slide para moldar, desenhar ou estampar metal ou outros materiais. O perigo ocorre no ponto de operação onde o material é inserido, retido e retirado. Equipamentos que usam ação de dobra incluem prensas mecânicas, dobradeiras e dobradeiras de tubos. (Veja a figura 11.)
Figura 11. Operação de dobra
Requisitos para salvaguardas
As proteções devem atender aos seguintes requisitos gerais mínimos para proteger os trabalhadores contra riscos mecânicos:
Impedir o contato. A proteção deve evitar que mãos, braços ou qualquer parte do corpo ou roupa de um trabalhador entrem em contato com peças móveis perigosas, eliminando a possibilidade de operadores ou outros trabalhadores colocarem partes de seus corpos perto de peças móveis perigosas.
Fornecer segurança. Os trabalhadores não devem ser capazes de remover ou adulterar facilmente a proteção. Proteções e dispositivos de segurança devem ser feitos de material durável que resista às condições normais de uso e que estejam firmemente presos à máquina.
Proteja-se da queda de objetos. A proteção deve garantir que nenhum objeto possa cair nas partes móveis e danificar o equipamento ou se tornar um projétil que possa atingir e ferir alguém.
Não criar novos perigos. Uma proteção anula seu propósito se criar um risco próprio, como um ponto de cisalhamento, uma borda irregular ou uma superfície inacabada. As bordas das proteções, por exemplo, devem ser enroladas ou aparafusadas de forma que eliminem arestas vivas.
Não criar interferência. As salvaguardas que impedem os trabalhadores de realizar seus trabalhos podem em breve ser substituídas ou desconsideradas. Se possível, os trabalhadores devem ser capazes de lubrificar as máquinas sem desengatar ou remover as proteções. Por exemplo, localizar reservatórios de óleo fora da proteção, com uma linha que leve ao ponto de lubrificação, reduzirá a necessidade de entrar na área perigosa.
Treinamento de Salvaguarda
Mesmo o sistema de proteção mais elaborado não pode oferecer proteção eficaz, a menos que os trabalhadores saibam como usá-lo e por quê. O treinamento específico e detalhado é uma parte importante de qualquer esforço para implementar a proteção contra riscos relacionados à máquina. A proteção adequada pode melhorar a produtividade e aumentar a eficiência, pois pode aliviar as apreensões dos trabalhadores sobre lesões. O treinamento de proteção é necessário para novos operadores e pessoal de manutenção ou configuração, quando quaisquer proteções novas ou alteradas são colocadas em serviço ou quando os trabalhadores são designados para uma nova máquina ou operação; deve envolver instrução ou treinamento prático no seguinte:
Métodos de proteção de máquinas
Existem muitas maneiras de proteger as máquinas. O tipo de operação, o tamanho ou formato do estoque, o método de manuseio, o layout físico da área de trabalho, o tipo de material e os requisitos ou limitações de produção ajudarão a determinar o método de proteção apropriado para a máquina individual. O projetista da máquina ou o profissional de segurança deve escolher a proteção mais eficaz e prática disponível.
As proteções podem ser categorizadas em cinco classificações gerais: (1) proteções, (2) dispositivos, (3) separação, (4) operações e (5) outras.
Proteção com guardas
Existem quatro tipos gerais de proteções (barreiras que impedem o acesso a áreas de perigo), como segue:
Guardas fixos. Uma proteção fixa é uma parte permanente da máquina e não depende de partes móveis para executar sua função pretendida. Pode ser feito de chapa metálica, tela, tela de arame, barras, plástico ou qualquer outro material que seja resistente o suficiente para suportar qualquer impacto que possa receber e suportar uso prolongado. As proteções fixas são geralmente preferíveis a todos os outros tipos devido à sua relativa simplicidade e permanência (ver tabela 1).
Tabela 1. Proteções de máquina
Método |
Ação de salvaguarda |
Diferenciais |
Limitações |
Fixo |
· Fornece uma barreira |
· Adapta-se a muitas aplicações específicas |
· Pode interferir na visibilidade |
Intertravado |
· Desliga ou desengata a energia e impede a partida da máquina quando a proteção está aberta; deve exigir que a máquina seja parada antes que o trabalhador possa alcançar a área de perigo |
· Oferece proteção máxima |
· Requer ajuste e manutenção cuidadosos |
Ajustável |
· Fornece uma barreira que pode ser ajustada para facilitar uma variedade de operações de produção |
· Pode ser construído para atender a muitas aplicações específicas |
· O operador pode entrar na área de perigo: a proteção pode não estar completa o tempo todo |
Auto-ajustável |
· Fornece uma barreira que se move de acordo com o tamanho do estoque que entra na área de perigo |
· Protetores prontos para uso estão disponíveis comercialmente |
· Nem sempre oferece proteção máxima |
Na figura 12, uma proteção fixa em uma prensa mecânica envolve completamente o ponto de operação. O estoque é alimentado pela lateral da proteção para a área da matriz, com o estoque de sucata saindo pelo lado oposto.
Figura 12. Proteção fixa na prensa de força
A Figura 13 descreve uma proteção de caixa fixa que protege a correia e a polia de uma unidade de transmissão de energia. Um painel de inspeção é fornecido na parte superior para minimizar a necessidade de remover a proteção.
Figura 13. Correias e polias com proteção fixa
Na figura 14, as proteções fixas do invólucro são mostradas em uma serra de fita. Essas proteções protegem os operadores das rodas giratórias e da lâmina de serra em movimento. Normalmente, a única vez em que as proteções seriam abertas ou removidas seria para troca de lâmina ou para manutenção. É muito importante que estejam bem presos enquanto a serra estiver em uso.
Figura 14. Protetores fixos na serra de fita
Guardas interligados. Quando as proteções intertravadas são abertas ou removidas, o mecanismo de disparo e/ou energia desliga ou desengata automaticamente, e a máquina não pode rodar ou ser iniciada até que a proteção intertravada esteja de volta no lugar. No entanto, substituir a proteção de intertravamento não deve reiniciar a máquina automaticamente. As proteções intertravadas podem usar energia elétrica, mecânica, hidráulica ou pneumática, ou qualquer combinação delas. Os intertravamentos não devem impedir o “avanço” (ou seja, movimentos progressivos graduais) por controle remoto, se necessário.
Um exemplo de proteção intertravada é mostrado na figura 15. Nesta figura, o mecanismo batedor de uma máquina picker (usada na indústria têxtil) é coberto por uma barreira intertravada de proteção. Esta proteção não pode ser levantada enquanto a máquina estiver funcionando, nem a máquina pode ser reiniciada com a proteção na posição elevada.
Figura 15. Proteção intertravada na máquina coletora
Protetores ajustáveis. Protetores ajustáveis permitem flexibilidade para acomodar vários tamanhos de estoque. A Figura 16 mostra uma proteção de gabinete ajustável em uma serra de fita.
Figura 16. Protetor ajustável na serra de fita
Protetores autoajustáveis. As aberturas das proteções autoajustáveis são determinadas pelo movimento da coronha. À medida que o operador move a coronha para a área de perigo, a proteção é afastada, proporcionando uma abertura grande o suficiente para permitir apenas a passagem da coronha. Depois que o estoque é removido, o protetor retorna à posição de repouso. Esta proteção protege o operador colocando uma barreira entre a área de perigo e o operador. As proteções podem ser construídas de plástico, metal ou outro material resistente. As proteções auto-ajustáveis oferecem diferentes graus de proteção.
A Figura 17 mostra uma serra de braço radial com proteção autoajustável. À medida que a lâmina é puxada pela coronha, a proteção se move para cima, permanecendo em contato com a coronha.
Figura 17. Proteção autoajustável na serra de braço radial
Proteção com dispositivos
Os dispositivos de segurança podem parar a máquina se uma mão ou qualquer parte do corpo for colocada inadvertidamente na área de perigo, podem restringir ou retirar as mãos do operador da área de perigo durante a operação, podem exigir que o operador use ambas as mãos nos controles da máquina simultaneamente ( mantendo assim as mãos e o corpo fora de perigo) ou pode fornecer uma barreira sincronizada com o ciclo operacional da máquina para impedir a entrada na área de perigo durante a parte perigosa do ciclo. Existem cinco tipos básicos de dispositivos de segurança, como segue:
Dispositivos de detecção de presença
Três tipos de dispositivos sensores que param a máquina ou interrompem o ciclo de trabalho ou operação se um trabalhador estiver dentro da zona de perigo são descritos abaixo:
O Plano de Ação Global para Saúde Mental XNUMX-XNUMX da dispositivo sensor de presença fotoelétrico (óptico) usa um sistema de fontes de luz e controles que podem interromper o ciclo operacional da máquina. Se o campo de luz for interrompido, a máquina para e não roda. Este dispositivo deve ser usado apenas em máquinas que podem ser paradas antes que o trabalhador alcance a área de perigo. A Figura 18 mostra um dispositivo fotoelétrico de detecção de presença usado com uma prensa dobradeira. O dispositivo pode ser girado para cima ou para baixo para acomodar diferentes requisitos de produção.
Figura 18. Dispositivo fotoelétrico de detecção de presença na prensa dobradeira
O Plano de Ação Global para Saúde Mental XNUMX-XNUMX da dispositivo de detecção de presença por radiofrequência (capacitância) usa um feixe de rádio que faz parte do circuito de controle. Quando o campo de capacitância é interrompido, a máquina irá parar ou não será ativada. Este dispositivo deve ser usado apenas em máquinas que podem ser paradas antes que o trabalhador possa alcançar a área de perigo. Isso requer que a máquina tenha uma embreagem de fricção ou outro meio confiável de parada. A Figura 19 mostra um dispositivo de detecção de presença por radiofrequência montado em uma prensa mecânica de revolução parcial.
Figura 19. Dispositivo de detecção de presença por radiofrequência na serra elétrica
O Plano de Ação Global para Saúde Mental XNUMX-XNUMX da dispositivo sensor eletromecânico possui um apalpador ou barra de contato que desce até uma distância predeterminada quando o operador inicia o ciclo da máquina. Se houver uma obstrução impedindo-a de descer toda a distância predeterminada, o circuito de controle não aciona o ciclo da máquina. A Figura 20 mostra um dispositivo de detecção eletromecânico em uma eyeletter. A sonda de detecção em contato com o dedo do operador também é mostrada.
Figura 20. Dispositivo de detecção eletromecânica na máquina de letras de olho
Dispositivos pullback
Os dispositivos pullback utilizam uma série de cabos conectados às mãos, pulsos e/ou braços do operador e são usados principalmente em máquinas com ação de curso. Quando a corrediça/êmbolo está levantada, o operador tem acesso ao ponto de operação. Quando a corrediça/arríete começa a descer, uma articulação mecânica garante automaticamente a retirada das mãos do ponto de operação. A Figura 21 mostra um dispositivo pullback em uma prensa pequena.
Figura 21. Dispositivo pullback na prensa mecânica
Dispositivos de retenção
Dispositivos de retenção, que utilizam cabos ou correias presas entre um ponto fixo e as mãos do operador, têm sido usados em alguns países. Esses dispositivos geralmente não são considerados proteções aceitáveis porque são facilmente contornados pelo operador, permitindo assim que as mãos sejam colocadas na zona de perigo. (Ver tabela 2.)
Tabela 2. Dispositivos
Método |
Ação de salvaguarda |
Diferenciais |
Limitações |
Fotoelétrico |
· A máquina não iniciará o ciclo quando o campo de luz for interrompido |
· Pode permitir movimentos mais livres para o operador |
· Não protege contra falhas mecânicas |
Radiofrequência |
· O ciclo da máquina não iniciará quando o campo de capacitância for interrompido |
· Pode permitir movimentos mais livres para o operador |
· Não protege contra falhas mecânicas |
Eletro-mecânica |
· Barra de contato ou sonda percorre uma distância predeterminada entre o operador e a área de perigo |
· Pode permitir o acesso no ponto de operação |
· A barra de contato ou sonda deve estar devidamente ajustada para cada aplicação; este ajuste deve ser mantido adequadamente |
Retrocesso |
· Quando a máquina começa a rodar, as mãos do operador são puxadas para fora da área de perigo |
· Elimina a necessidade de barreiras auxiliares ou outras interferências na área de perigo |
· Limita o movimento do operador |
Controles de viagem de segurança: |
· Pára a máquina quando acionada |
· Simplicidade de uso |
· Todos os controles devem ser ativados manualmente |
Controle de duas mãos |
· É necessário o uso simultâneo de ambas as mãos, evitando que o operador entre na área de perigo |
· As mãos do operador estão em um local predeterminado longe da área de perigo |
· Requer uma máquina de ciclo parcial com freio |
viagem de duas mãos |
· O uso simultâneo de duas mãos em controles separados evita que as mãos fiquem na área de perigo quando o ciclo da máquina começa |
· As mãos do operador estão longe da área de perigo |
· O operador pode tentar alcançar a área de perigo após tropeçar na máquina |
Portão |
· Fornece uma barreira entre a área de perigo e o operador ou outro pessoal |
· Pode impedir alcançar ou entrar na área de perigo |
· Pode exigir inspeção frequente e manutenção regular |
Dispositivos de controle de segurança
Todos esses dispositivos de controle de segurança são ativados manualmente e devem ser redefinidos manualmente para reiniciar a máquina:
Figura 22. Barra de corpo sensível à pressão no moinho de borracha
Figura 23. Haste de segurança na fábrica de borracha
Figura 24. Cabo de segurança na calandra
Figura 25. Botões de controle de duas mãos na prensa de força da embreagem de revolução parcial
Figura 26. Botões de controle de duas mãos na prensa de força da embreagem de revolução total
Figura 27. Prensa potente com portão
Salvaguarda por localização ou distância
Para proteger uma máquina por localização, a máquina ou suas peças móveis perigosas devem ser posicionadas de forma que as áreas perigosas não sejam acessíveis ou não representem perigo para o trabalhador durante a operação normal da máquina. Isso pode ser feito com paredes ou cercas que restrinjam o acesso às máquinas, ou localizando uma máquina de forma que um recurso de projeto da planta, como uma parede, proteja o trabalhador e outras pessoas. Outra possibilidade é ter peças perigosas localizadas em altura suficiente para ficarem fora do alcance normal de qualquer trabalhador. Uma análise de risco completa de cada máquina e situação particular é essencial antes de tentar esta técnica de proteção. Os exemplos mencionados abaixo são algumas das inúmeras aplicações do princípio da salvaguarda por localização/distância.
Processo de alimentação. O processo de alimentação pode ser protegido por localização se for possível manter uma distância segura para proteger as mãos do trabalhador. As dimensões do estoque que está sendo trabalhado podem fornecer segurança adequada. Por exemplo, ao operar uma máquina de perfuração de extremidade única, se o material tiver vários pés de comprimento e apenas uma extremidade do material estiver sendo trabalhada, o operador poderá segurar a extremidade oposta enquanto o trabalho estiver sendo executado. No entanto, dependendo da máquina, a proteção ainda pode ser necessária para outras pessoas.
Controles de posicionamento. O posicionamento da estação de controle do operador fornece uma abordagem potencial para proteção por localização. Os controles do operador podem estar localizados a uma distância segura da máquina se não houver motivo para o operador estar presente na máquina.
Métodos de proteção de alimentação e ejeção
Muitos métodos de alimentação e ejeção não exigem que os operadores coloquem as mãos na área de perigo. Em alguns casos, nenhum envolvimento do operador é necessário após a configuração da máquina, enquanto em outras situações, os operadores podem alimentar manualmente o estoque com a ajuda de um mecanismo de alimentação. Além disso, podem ser projetados métodos de ejeção que não requeiram qualquer envolvimento do operador depois que a máquina começar a funcionar. Alguns métodos de alimentação e ejeção podem até mesmo criar perigos, como um robô que pode eliminar a necessidade de um operador estar perto da máquina, mas pode criar um novo perigo pelo movimento de seu braço. (Ver tabela 3.)
Tabela 3. Métodos de alimentação e ejeção
Método |
Ação de salvaguarda |
Diferenciais |
Limitações |
Feed automático |
· O estoque é alimentado a partir de rolos, indexados pelo mecanismo da máquina, etc. |
· Elimina a necessidade de envolvimento do operador na área de perigo |
· Outras proteções também são necessárias para proteção do operador - geralmente proteções de barreira fixas |
Semi-automática |
· O estoque é alimentado por chutes, matrizes móveis, dial |
· Elimina a necessidade de envolvimento do operador na área de perigo |
· Outras proteções também são necessárias para proteção do operador - geralmente proteções de barreira fixas |
Automático |
· As peças de trabalho são ejetadas por ar ou meios mecânicos |
· Elimina a necessidade de envolvimento do operador na área de perigo |
· Pode criar um risco de sopro de lascas ou detritos |
Semi-automática |
· As peças de trabalho são ejetadas por ação mecânica |
· O operador não precisa entrar na área de perigo para remover o trabalho finalizado |
· Outras proteções são necessárias para o operador |
Robôs |
· Eles executam o trabalho normalmente feito pelo operador |
· O operador não precisa entrar na área de perigo |
· Podem criar perigos por conta própria |
O uso de um dos cinco métodos de alimentação e ejeção a seguir para proteger as máquinas não elimina a necessidade de proteções e outros dispositivos, que devem ser usados conforme necessário para fornecer proteção contra exposição a riscos.
Feed automático. As alimentações automáticas reduzem a exposição do operador durante o processo de trabalho e muitas vezes não exigem nenhum esforço do operador depois que a máquina está configurada e funcionando. A prensa mecânica da figura 28 possui um mecanismo de alimentação automática com uma proteção transparente fixa na área de perigo.
Figura 28. Prensa hidráulica com alimentação automática
Alimentação semiautomática. Com alimentação semiautomática, como no caso de uma prensa mecânica, o operador utiliza um mecanismo para colocar a peça que está sendo processada sob o aríete a cada passada. O operador não precisa alcançar a área de perigo e a área de perigo é completamente fechada. A Figura 29 mostra uma calha de alimentação na qual cada peça é colocada manualmente. O uso de um chute de alimentação em uma prensa inclinada não apenas ajuda a centralizar a peça à medida que ela desliza para dentro da matriz, mas também pode simplificar o problema de ejeção.
Figura 29. Prensa potente com alimentação por calha
Ejeção automática. A ejeção automática pode empregar pressão de ar ou um aparato mecânico para remover a peça completa de uma prensa e pode ser interligada com os controles operacionais para impedir a operação até que a ejeção da peça seja concluída. O mecanismo pan shuttle mostrado na figura 30 move-se sob a peça acabada enquanto a corrediça se move para cima. A lançadeira então pega a peça arrancada da corrediça pelos pinos de extração e a desvia para um chute. Quando o aríete se move para baixo em direção ao próximo espaço em branco, o pan shuttle se afasta da área da matriz.
Figura 30. Sistema de ejeção do vaivém
Ejeção semiautomática. A Figura 31 mostra um mecanismo de ejeção semiautomático usado em uma prensa mecânica. Quando o êmbolo é retirado da área da matriz, a perna ejetora, que é mecanicamente acoplada ao êmbolo, chuta o trabalho concluído.
Figura 31. Mecanismo de ejeção semiautomático
Robôs. Os robôs são dispositivos complexos que carregam e descarregam estoque, montam peças, transferem objetos ou executam trabalhos que não seriam executados por um operador, eliminando assim a exposição do operador a riscos. Eles são mais bem utilizados em processos de alta produção que exigem rotinas repetidas, onde podem proteger contra outros riscos aos funcionários. Os robôs podem criar perigos e proteções apropriadas devem ser usadas. A Figura 32 mostra um exemplo de um robô alimentando uma prensa.
Figura 32. Usando proteções de barreira para proteger o envelope do robô
Auxiliares de proteção diversos
Embora diversos auxílios de proteção não ofereçam proteção completa contra os perigos da máquina, eles podem fornecer aos operadores uma margem extra de segurança. É necessário bom senso em sua aplicação e uso.
Barreiras de conscientização. As barreiras de alerta não fornecem proteção física, mas servem apenas para lembrar os operadores de que estão se aproximando da área de perigo. Geralmente, as barreiras de conscientização não são consideradas adequadas quando existe exposição contínua ao perigo. A Figura 33 mostra uma corda usada como barreira de reconhecimento na parte traseira de uma tesoura de esquadria. As barreiras não impedem fisicamente as pessoas de entrar em áreas de perigo, mas apenas fornecem conscientização sobre o perigo.
Figura 33. Vista traseira do quadrado de power shear
Shields. Os escudos podem ser usados para fornecer proteção contra partículas voadoras, respingos de fluidos de usinagem ou refrigerantes. A Figura 34 mostra duas aplicações potenciais.
Figura 34. Aplicações de escudos
Ferramentas de segurar. As ferramentas de fixação colocam e removem o estoque. Um uso típico seria para alcançar a área de perigo de uma prensa ou dobradeira. A Figura 35 mostra uma variedade de ferramentas para essa finalidade. Ferramentas de retenção não devem ser usadas em vez disso de outras proteções de máquinas; eles são apenas um complemento para a proteção que outros guardas fornecem.
Figura 35. Ferramentas de fixação
Empurrar bastões ou blocos, como mostrado na figura 36, pode ser usado ao alimentar o estoque em uma máquina, como uma lâmina de serra. Quando for necessário que as mãos fiquem muito próximas da lâmina, o bastão ou bloco pode fornecer uma margem de segurança e evitar ferimentos.
Figura 36. Uso do push stick ou push block
Desenvolvimentos gerais em microeletrônica e na tecnologia de sensores dão motivos para esperar que uma melhoria na segurança ocupacional possa ser alcançada através da disponibilidade de detectores de presença e aproximação confiáveis, resistentes, de baixa manutenção e baratos. Este artigo descreve a tecnologia de sensores, os diferentes procedimentos de detecção, as condições e restrições aplicáveis ao uso de sistemas de sensores e alguns estudos concluídos e trabalhos de padronização na Alemanha.
Critérios do Detector de Presença
O desenvolvimento e teste prático de detectores de presença é um dos maiores desafios futuros para os esforços técnicos na melhoria da segurança ocupacional e para a proteção do pessoal em geral. Detectores de presença são sensores que sinalizam de forma confiável e segura o presença próxima ou aproximação de uma pessoa. Além disso, este aviso deve ocorrer rapidamente para que uma ação evasiva, frenagem ou desligamento de uma máquina estacionária possa ocorrer antes que ocorra o contato previsto. Se as pessoas são grandes ou pequenas, qualquer que seja sua postura ou como estão vestidas, não deve afetar a confiabilidade do sensor. Além disso, o sensor deve ter certeza de funcionamento e ser robusto e barato, para que possa ser utilizado nas condições mais exigentes, como em canteiros de obras e aplicações móveis, com o mínimo de manutenção. Os sensores devem ser como um airbag, pois não precisam de manutenção e estão sempre prontos. Dada a relutância de alguns usuários em manter o que consideram equipamento não essencial, os sensores podem ficar sem manutenção por anos. Outra característica dos detetores de presença, muito mais prováveis de serem solicitados, é que também detetam obstáculos que não sejam seres humanos e alertam o operador a tempo de efetuar uma ação defensiva, reduzindo assim os custos de reparação e danos materiais. Esta é uma razão para instalar detectores de presença que não devem ser subestimados.
Aplicações do Detector
Inúmeros acidentes fatais e lesões graves que parecem atos individuais e inevitáveis do destino podem ser evitados ou minimizados desde que os detectores de presença se tornem mais aceitos como medida preventiva no campo da segurança ocupacional. Os jornais relatam esses acidentes com muita frequência: aqui uma pessoa foi atropelada por uma carregadeira que se movia para trás, ali o operador não viu alguém que foi atropelado pela roda dianteira de uma escavadeira elétrica. Caminhões que andam para trás nas ruas, instalações da empresa e canteiros de obras são a causa de muitos acidentes com as pessoas. As empresas totalmente racionalizadas de hoje não fornecem mais co-pilotos ou outras pessoas para atuar como guias para o motorista que está dando ré em um caminhão. Esses exemplos de acidentes em movimento podem ser facilmente estendidos a outros equipamentos móveis, como empilhadeiras. No entanto, o uso de sensores é urgentemente necessário para evitar acidentes envolvendo equipamentos semi-móveis e puramente estacionários. Um exemplo são as áreas traseiras de grandes máquinas de carga, que foram identificadas pelo pessoal de segurança como áreas potencialmente perigosas que podem ser melhoradas com o uso de sensores baratos. Muitas variações de detectores de presença podem ser adaptadas de forma inovadora a outros veículos e grandes equipamentos móveis para proteção contra os tipos de acidentes discutidos neste artigo, que geralmente causam danos extensos e ferimentos graves, se não fatais.
A tendência de disseminação de soluções inovadoras parece prometer que os detectores de presença se tornarão a tecnologia de segurança padrão em outras aplicações; no entanto, este não é o caso em qualquer lugar. O avanço, motivado por acidentes e altos danos materiais, é esperado no monitoramento atrás de vans de entrega e caminhões pesados e nas áreas mais inovadoras das “novas tecnologias” – as máquinas robóticas móveis do futuro.
A variação dos campos de aplicação dos detectores de presença e a variabilidade das tarefas – por exemplo, tolerar objetos (mesmo objetos em movimento, sob certas condições) que pertencem a um campo de detecção e que não devem disparar um sinal – exigem sensores nos quais “ tecnologia de avaliação inteligente” suporta os mecanismos de função do sensor. Esta tecnologia, que é um assunto para desenvolvimento futuro, pode ser elaborada a partir de métodos baseados no campo da inteligência artificial (Schreiber e Kuhn 1995). Até o momento, uma universalidade limitada restringiu severamente os usos atuais de sensores. Existem cortinas de luz; barras de luz; tapetes de contato; sensores infravermelhos passivos; detectores de movimento por ultrassom e radar que utilizam o efeito Doppler; sensores que fazem medições de tempo decorrido de ultrassom, radar e impulsos luminosos; e scanners a laser. As câmeras de televisão normais conectadas a monitores não estão incluídas nesta lista porque não são detectores de presença. No entanto, estão incluídas as câmeras que são ativadas automaticamente ao detectar a presença de uma pessoa.
Sensor Technology
Hoje, as principais questões do sensor são (1) otimizar o uso dos efeitos físicos (infravermelho, luz, ultrassom, radar, etc.) e (2) automonitoramento. Scanners a laser estão sendo intensamente desenvolvidos para uso como instrumentos de navegação para robôs móveis. Para isso, duas tarefas, em princípio parcialmente diferentes, devem ser resolvidas: a navegação do robô e a proteção das pessoas (e materiais ou equipamentos) presentes para que não sejam atingidas, atropeladas ou agarradas (Freund, Dierks e Rossman 1993 ). Os futuros robôs móveis não podem manter a mesma filosofia de segurança de “separação espacial entre robô e pessoa” que é estritamente aplicada aos robôs industriais estacionários de hoje. Isso significa colocar um alto valor no funcionamento confiável do detector de presença a ser usado.
A utilização de “novas tecnologias” está muitas vezes ligada a problemas de aceitação, podendo assumir-se que a generalização do uso de robôs móveis que se podem deslocar e agarrar, entre pessoas em fábricas, em zonas de circulação pública, ou mesmo em habitações ou zonas recreativas , só serão aceites se estiverem equipados com detectores de presença altamente desenvolvidos, sofisticados e fiáveis. Acidentes espetaculares devem ser evitados a todo custo para não agravar um possível problema de aceitação. O atual nível de gastos para o desenvolvimento deste tipo de sensores de proteção ocupacional não chega nem perto de levar em conta esta consideração. Para economizar muitos custos, os detectores de presença devem ser desenvolvidos e testados simultaneamente com os robôs móveis e os sistemas de navegação, não depois.
No que diz respeito aos veículos a motor, as questões de segurança ganharam uma importância crescente. A segurança inovadora dos passageiros em automóveis inclui cintos de segurança de três pontos, cadeiras infantis, airbags e o sistema de freio antitravamento verificado por testes de colisão em série. Essas medidas de segurança representam uma parcela relativamente crescente dos custos de produção. Os sistemas de airbag lateral e sensor de radar para medir a distância ao carro à frente são desenvolvimentos evolutivos na proteção dos passageiros.
A segurança externa do veículo motorizado – ou seja, a proteção de terceiros – está recebendo maior atenção. Recentemente, a proteção lateral foi exigida, principalmente para caminhões, para evitar que motociclistas, ciclistas e pedestres corram o risco de cair sob as rodas traseiras. Um próximo passo lógico seria monitorar a área atrás de veículos grandes com detectores de presença e instalar equipamentos de alerta na área traseira. Isso teria o efeito colateral positivo de fornecer o financiamento necessário para desenvolver, testar e disponibilizar sensores baratos de desempenho máximo, automonitoramento, livres de manutenção e funcionamento confiável para fins de segurança ocupacional. O processo de teste que acompanharia a ampla implementação de sensores ou sistemas de sensores facilitaria consideravelmente a inovação em outras áreas, como escavadeiras elétricas, carregadeiras pesadas e outras grandes máquinas móveis que fazem backup até metade do tempo durante sua operação. O processo evolutivo de robôs estacionários para robôs móveis é um caminho adicional de desenvolvimento para detectores de presença. Por exemplo, melhorias podem ser feitas nos sensores atualmente usados em movimentadores de materiais de robôs móveis ou “tratores de chão de fábrica sem motorista”, que seguem caminhos fixos e, portanto, têm requisitos de segurança relativamente baixos. O uso de detectores de presença é o próximo passo lógico para melhorar a segurança na área de transporte de materiais e passageiros.
Procedimentos de Detecção
Vários princípios físicos, disponíveis em conexão com métodos eletrônicos de medição e automonitoramento e, até certo ponto, procedimentos de computação de alto desempenho, podem ser usados para avaliar e resolver as tarefas mencionadas acima. A operação aparentemente sem esforço e segura de máquinas automatizadas (robôs), tão comuns em filmes de ficção científica, possivelmente será realizada no mundo real por meio do uso de técnicas de imagem e algoritmos de reconhecimento de padrões de alto desempenho em combinação com métodos de medição de distância análogos aos empregados por scanners a laser. Deve-se reconhecer a situação paradoxal de que tudo o que parece simples para as pessoas é difícil para os autômatos. Por exemplo, uma tarefa difícil, como um excelente jogo de xadrez (que exige atividade do prosencéfalo), pode ser mais facilmente simulada e executada por máquinas automatizadas do que uma tarefa simples, como andar ereto ou realizar coordenação olho-mão e outros movimentos (mediados por o mesencéfalo e o rombencéfalo). Alguns desses princípios, métodos e procedimentos aplicáveis a aplicações de sensores são descritos abaixo. Além destes, existe um grande número de procedimentos especiais para tarefas muito especiais que funcionam em parte com uma combinação de vários tipos de efeitos físicos.
Cortinas e barras de barreira de luz. Entre os primeiros detectores de presença estavam cortinas e barras de barreira de luz. Eles têm uma geometria de monitoramento plana; ou seja, aquele que ultrapassou a barreira não será mais detectado. A mão de um operador, ou a presença de ferramentas ou peças na mão de um operador, por exemplo, pode ser detectada de forma rápida e confiável com esses dispositivos. Oferecem uma contribuição importante para a segurança do trabalho de máquinas (como prensas e puncionadeiras) que exigem que o material seja colocado à mão. A confiabilidade tem que ser extremamente alta estatisticamente, porque quando a mão atinge apenas duas a três vezes por minuto, cerca de um milhão de operações são realizadas em apenas alguns anos. O automonitoramento mútuo dos componentes emissor e receptor foi desenvolvido em um nível técnico tão alto que representa um padrão para todos os outros procedimentos de detecção de presença.
Tapetes de contato (tapetes de comutação). Existem tipos passivos e ativos (bomba) de tapetes e pisos de contato elétricos e pneumáticos, que foram inicialmente usados em grande número em funções de serviço (abertura de portas), até serem substituídos por detectores de movimento. O desenvolvimento posterior evolui com o uso de detectores de presença em todos os tipos de zonas de perigo. Por exemplo, o desenvolvimento da manufatura automatizada com uma mudança na função do trabalhador – de operar a máquina para monitorar estritamente sua função – produziu uma demanda correspondente por detectores apropriados. A padronização deste uso está bem avançada (DIN 1995a), e limitações especiais (layout, tamanho, máximo permitido de zonas “mortas”) exigiram o desenvolvimento de expertise para instalação nesta área de uso.
Possíveis usos interessantes de tapetes de contato surgem em conjunto com múltiplos sistemas de robôs controlados por computador. Um operador troca um ou dois elementos para que o detector de presença detecte sua posição exata e informe o computador, que gerencia os sistemas de controle do robô com um sistema interno de prevenção de colisões. Em um teste avançado pelo Instituto Federal de Segurança Alemão (BAU), um piso de tapete de contato, consistindo de pequenos tapetes de interruptores elétricos, foi construído sob a área de trabalho do braço do robô para esse propósito (Freund, Dierks e Rossman 1993). Este detector de presença tinha a forma de um tabuleiro de xadrez. O campo de esteira ativado respectivamente informava ao computador a posição do operador (figura 1) e quando o operador se aproximava muito do robô, ele se afastava. Sem o detector de presença, o sistema do robô não seria capaz de determinar a posição do operador, e o operador não poderia ser protegido.
Figura 1. Uma pessoa (à direita) e dois robôs em corpos de embalagem computados
Refletores (sensores de movimento e detectores de presença). Por mais meritórios que sejam os sensores discutidos até agora, eles não são detectores de presença no sentido mais amplo. Sua adequação - principalmente por razões de segurança no trabalho - para veículos de grande porte e grandes equipamentos móveis pressupõe duas características importantes: (1) a capacidade de monitorar uma área de uma posição e (2) funcionamento sem erros sem a necessidade de medidas adicionais em a parte de, por exemplo, o uso de dispositivos refletores. Detectar a presença de uma pessoa entrando na área monitorada e permanecendo parada até que ela saia também implica a necessidade de detectar uma pessoa que esteja absolutamente imóvel. Isso distingue os chamados sensores de movimento dos detectores de presença, pelo menos em conexão com equipamentos móveis; os sensores de movimento quase sempre são acionados quando o veículo é colocado em movimento.
Sensores de movimento. Os dois tipos básicos de sensores de movimento são: (1) “sensores infravermelhos passivos” (PIRS), que reagem à menor alteração no feixe infravermelho na área monitorada (o menor feixe detectável é de aproximadamente 10-9 W com uma faixa de comprimento de onda de aproximadamente 7 a 20 μm); e (2) sensores de ultrassom e micro-ondas usando o princípio Doppler, que determina as características do movimento de um objeto de acordo com as mudanças de frequência. Por exemplo, o efeito Doppler aumenta a frequência da buzina de uma locomotiva para um observador quando ela se aproxima e reduz a frequência quando a locomotiva está se afastando. O efeito Doppler possibilita a construção de sensores de aproximação relativamente simples, pois o receptor precisa apenas monitorar a frequência do sinal das bandas de frequência vizinhas para o aparecimento da frequência Doppler.
Em meados da década de 1970, o uso de detectores de movimento tornou-se predominante em aplicações de funções de serviço, como abridores de portas, segurança contra roubo e proteção de objetos. Para uso estacionário, a detecção de uma pessoa se aproximando de um ponto de perigo era adequada para dar um aviso oportuno ou desligar uma máquina. Esta foi a base para estudar a adequação de detectores de movimento para seu uso em segurança ocupacional, especialmente por meio de PIRS (Mester et al. 1980). Como uma pessoa vestida geralmente tem uma temperatura mais alta do que a área circundante (cabeça 34°C, mãos 31°C), detectar uma pessoa que se aproxima é um pouco mais fácil do que detectar objetos inanimados. Até certo ponto, as peças da máquina podem se mover na área monitorada sem acionar o detector.
O método passivo (sem transmissor) tem vantagens e desvantagens. A vantagem é que um PIRS não aumenta os problemas de ruído e poluição elétrica. Para segurança contra roubo e proteção de objetos, é particularmente importante que o detector não seja fácil de encontrar. Um sensor que é apenas um receptor, no entanto, dificilmente pode monitorar sua própria eficácia, o que é essencial para a segurança do trabalho. Um método para contornar essa desvantagem foi testar pequenos emissores de infravermelho modulados (5 a 20 Hz) que foram instalados na área monitorada e que não acionaram o sensor, mas cujos feixes foram registrados com uma amplificação eletrônica fixa ajustada à frequência de modulação. Essa modificação o transformou de um sensor “passivo” em um sensor “ativo”. Desta forma também foi possível verificar a precisão geométrica da área monitorada. Os espelhos podem ter pontos cegos e a direção de um sensor passivo pode ser desviada pela atividade áspera em uma planta. A Figura 2 mostra um layout de teste com um PIRS com uma geometria monitorada na forma de um manto piramidal. Devido ao seu grande alcance, os sensores infravermelhos passivos são instalados, por exemplo, nas passagens das áreas de armazenamento de prateleiras.
Figura 2. Sensor infravermelho passivo como detector de aproximação em uma área de perigo
No geral, os testes mostraram que os detectores de movimento não são adequados para a segurança ocupacional. O andar noturno de um museu não pode ser comparado a zonas de perigo em um local de trabalho.
Detectores de ultra-som, radar e impulso de luz. Sensores que usam o princípio de pulso/eco – ou seja, medições de tempo decorrido de ultrassom, radar ou impulsos de luz – têm grande potencial como detectores de presença. Com scanners a laser, os impulsos de luz podem varrer em rápida sucessão (geralmente de forma rotatória), por exemplo, horizontalmente, e com a ajuda de um computador pode-se obter um perfil de distância dos objetos em um plano que refletem a luz. Se, por exemplo, não apenas uma única linha for desejada, mas a totalidade do que está diante do robô móvel na área até uma altura de 2 metros, grandes quantidades de dados devem ser processadas para representar a área circundante. Um futuro detector de presença “ideal” consistirá em uma combinação dos dois processos a seguir:
A Figura 3 mostra, do projeto BAU citado anteriormente (Freund, Dierks e Rossman 1993), o uso de um scanner a laser em um robô móvel que também assume tarefas de navegação (através de um feixe de detecção de direção) e proteção contra colisão para objetos na vizinhança imediata. vizinhança (através de um feixe de medição de solo para detecção de presença). Dadas essas características, o robô móvel tem a capacidade de condução gratuita automatizada ativa (ou seja, a capacidade de contornar obstáculos). Tecnicamente, isso é obtido utilizando o ângulo de 45° da rotação do scanner para trás em ambos os lados (para bombordo e estibordo do robô), além do ângulo de 180° para a frente. Esses feixes são conectados a um espelho especial que atua como uma cortina de luz no chão em frente ao robô móvel (fornecendo uma linha de visão terrestre). Se um reflexo de laser vier daí, o robô para. Embora existam no mercado scanners a laser e de luz certificados para uso em segurança ocupacional, esses detectores de presença têm grande potencial para desenvolvimento adicional.
Figura 3. Robô móvel com scanner a laser para uso em navegação e detecção de presença
Sensores de ultrassom e radar, que usam o tempo decorrido do sinal à resposta para determinar a distância, são menos exigentes do ponto de vista técnico e, portanto, podem ser produzidos de forma mais barata. A área do sensor é em forma de taco e possui um ou mais tacos laterais menores, dispostos simetricamente. A velocidade de propagação do sinal (som: 330 m/s; onda eletromagnética: 300,000 km/s) determina a velocidade necessária da eletrônica utilizada.
Dispositivos de advertência de área traseira. Na Exposição de Hanover de 1985, a BAU mostrou os resultados de um projeto inicial sobre o uso de sensores de ultrassom para proteger a área atrás de veículos grandes (Langer e Kurfürst 1985). Um modelo em tamanho real de uma cabeça sensora feita de sensores Polaroid™ foi instalado na parede traseira de um caminhão de abastecimento. A Figura 4 mostra esquematicamente o seu funcionamento. O grande diâmetro deste sensor produz áreas de medição de ângulo relativamente pequeno (aproximadamente 18°), em forma de clava de longo alcance, dispostas próximas umas das outras e definidas para diferentes faixas de sinal máximo. Na prática permite definir qualquer geometria monitorada desejada, que é escaneada pelos sensores aproximadamente quatro vezes por segundo para a presença ou entrada de pessoas. Outros sistemas de alerta de área traseira demonstrados tinham vários sensores individuais paralelos.
Figura 4. Disposição da cabeça de medição e área monitorada na traseira de um caminhão
Esta demonstração vívida foi um grande sucesso na exposição. Ele mostrou que proteger a área traseira de grandes veículos e equipamentos está sendo estudado em muitos lugares - por exemplo, por comitês especializados das associações comerciais industriais (Berufsgenossenschaften), as seguradoras municipais de acidentes (responsáveis pelos veículos municipais), os fiscais estaduais da indústria e os produtores de sensores, que vinham pensando mais em automóveis como veículos de serviço (no sentido de focar em sistemas de estacionamento para proteção contra danos corporais auto). Um comitê ad hoc formado pelos grupos para promover os dispositivos de alerta de retaguarda foi formado espontaneamente e teve como primeira tarefa a elaboração de uma lista de requisitos sob a perspectiva da segurança do trabalho. Dez anos se passaram durante os quais muito se trabalhou no monitoramento da retaguarda - possivelmente a tarefa mais importante dos detectores de presença; mas o grande avanço ainda está faltando.
Muitos projetos foram conduzidos com sensores de ultrassom - por exemplo, em guindastes de triagem de toras, pás hidráulicas, veículos municipais especiais e outros veículos utilitários, bem como em empilhadeiras e carregadeiras (Schreiber 1990). Os dispositivos de alerta na área traseira são especialmente importantes para grandes máquinas que dão ré na maior parte do tempo. Os detectores de presença de ultrassom são usados, por exemplo, para a proteção de veículos autônomos especializados, como máquinas robóticas de manuseio de materiais. Em comparação com os pára-choques de borracha, esses sensores têm uma área de detecção maior que permite a frenagem antes do contato entre a máquina e um objeto. Sensores correspondentes para automóveis são desenvolvimentos apropriados e envolvem requisitos consideravelmente menos rigorosos.
Nesse ínterim, o Comitê de Normas Técnicas do Sistema de Transporte da DIN elaborou a Norma 75031, “Dispositivos de detecção de obstáculos durante a marcha à ré” (DIN 1995b). Os requisitos e testes foram definidos para duas faixas: 1.8 m para caminhões de abastecimento e 3.0 m – uma área de alerta adicional – para caminhões maiores. A área monitorada é definida através do reconhecimento de corpos de prova cilíndricos. O alcance de 3 m também está no limite do que é tecnicamente possível atualmente, pois os sensores de ultrassom devem ter membranas metálicas fechadas, dadas as condições de trabalho difíceis. Os requisitos para o automonitoramento do sistema de sensores estão sendo definidos, pois a geometria monitorada necessária pode ser realizada apenas com um sistema de três ou mais sensores. A Figura 5 mostra um dispositivo de alerta de área traseira que consiste em três sensores de ultrassom (Microsonic GmbH 1996). O mesmo se aplica ao dispositivo de notificação na cabina do condutor e ao tipo de sinal de aviso. O conteúdo da norma DIN 75031 também é apresentado no relatório técnico internacional ISO TR 12155, “Veículos comerciais—Dispositivo de detecção de obstáculos durante a marcha atrás” (ISO 1994). Vários fabricantes de sensores desenvolveram protótipos de acordo com este padrão.
Figura 5. Caminhão de médio porte equipado com dispositivo de alerta de área traseira (foto Microsonic).
Conclusão
Desde o início dos anos 1970, várias instituições e fabricantes de sensores trabalharam para desenvolver e estabelecer “detectores de presença”. Na aplicação especial de “dispositivos de alerta de área traseira” existem o padrão DIN 75031 e o relatório ISO TR 12155. No momento, a Deutsche Post AG está realizando um grande teste. Vários fabricantes de sensores equiparam cada um cinco caminhões de médio porte com tais dispositivos. Um resultado positivo deste teste é muito do interesse da segurança ocupacional. Como foi enfatizado no início, os detectores de presença nos números necessários são um grande desafio para a tecnologia de segurança nas diversas áreas de aplicação mencionadas. Eles devem, portanto, ser realizáveis a baixo custo, se os danos a equipamentos, máquinas e materiais e, acima de tudo, lesões em pessoas, muitas vezes muito graves, forem relegados ao passado.
Dispositivos de controle e dispositivos usados para isolamento e comutação devem sempre ser discutidos em relação a sistemas técnicos, termo utilizado neste artigo para incluir máquinas, instalações e equipamentos. Cada sistema técnico cumpre uma tarefa prática específica e atribuída. Dispositivos de controle e comutação de segurança apropriados são necessários para que esta tarefa prática seja viável ou mesmo possível em condições seguras. Tais dispositivos são utilizados para iniciar o controle, interromper ou retardar a corrente e/ou os impulsos de energias elétricas, hidráulicas, pneumáticas e também potenciais.
Isolamento e Redução de Energia
Dispositivos de isolamento são usados para isolar a energia desconectando a linha de alimentação entre a fonte de energia e o sistema técnico. O dispositivo de isolamento deve normalmente produzir uma desconexão real inequivocamente determinável do fornecimento de energia. A desconexão do fornecimento de energia também deve ser sempre combinada com a redução da energia armazenada em todas as partes do sistema técnico. Se o sistema técnico for alimentado por várias fontes de energia, todas essas linhas de alimentação devem poder ser isoladas de forma confiável. Pessoas treinadas para lidar com o tipo relevante de energia e que trabalham na extremidade de energia do sistema técnico usam dispositivos de isolamento para se protegerem dos perigos da energia. Por questões de segurança, essas pessoas sempre verificarão se nenhuma energia potencialmente perigosa permanece no sistema técnico - por exemplo, verificando a ausência de potencial elétrico no caso de energia elétrica. O manuseio sem riscos de certos dispositivos de isolamento é possível apenas para especialistas treinados; nestes casos, o dispositivo de isolamento deve ser inacessível a pessoas não autorizadas. (Veja a figura 1.)
Figura 1. Princípios dos dispositivos de isolamento elétrico e pneumático
O interruptor mestre
Um dispositivo de chave mestre desconecta o sistema técnico do fornecimento de energia. Ao contrário do dispositivo de isolamento, ele pode ser operado sem perigo mesmo por “não especialistas em energia”. O dispositivo de chave geral é utilizado para desligar os sistemas técnicos que não estiverem em uso em determinado momento caso, digamos, seu funcionamento seja obstruído por terceiros não autorizados. Também é usado para efetuar uma desconexão para fins de manutenção, reparo de avarias, limpeza, reinicialização e remontagem, desde que esse trabalho possa ser feito sem energia no sistema. Naturalmente, quando um dispositivo de chave geral também possui as características de um dispositivo de isolamento, ele também pode assumir e/ou compartilhar sua função. (Veja a figura 2.)
Figura 2. Exemplo de ilustração de dispositivos elétricos e pneuméticos de chave mestre
Dispositivo de desconexão de segurança
Um dispositivo de desconexão de segurança não desconecta todo o sistema técnico da fonte de energia; em vez disso, ele remove a energia das partes críticas do sistema para um determinado subsistema operacional. Intervenções de curta duração podem ser designadas para subsistemas operacionais - por exemplo, para a configuração ou reinicialização/reequipamento do sistema, para a reparação de avarias, para limpeza regular e para movimentos essenciais e designados e sequências de funções necessárias durante o curso de configuração, reinicialização/reinstalação ou execuções de teste. Nestes casos, equipamentos e instalações de produção complexos não podem ser simplesmente desligados com um dispositivo de chave geral, pois todo o sistema técnico não pode ser iniciado novamente de onde parou após o reparo de um defeito. Além disso, o dispositivo de chave geral raramente está localizado, nos sistemas técnicos mais extensos, no local onde a intervenção deve ser feita. Assim, o dispositivo de desconexão de segurança é obrigado a cumprir uma série de requisitos, como os seguintes:
Onde o dispositivo de chave geral usado em um determinado sistema técnico é capaz de atender a todos os requisitos de um dispositivo de desconexão de segurança, ele também pode assumir esta função. Mas é claro que isso será um expediente confiável apenas em sistemas técnicos muito simples. (Veja a figura 3.)
Figura 3. Ilustração dos princípios elementares de um dispositivo de desconexão de segurança
Engrenagens de Controle para Subsistemas Operacionais
As engrenagens de controle permitem que os movimentos e as sequências funcionais necessárias para os subsistemas operacionais do sistema técnico sejam implementados e controlados com segurança. Engrenagens de controle para subsistemas operacionais podem ser necessárias para configuração (quando testes devem ser executados); para regulação (quando é necessário reparar avarias no funcionamento do sistema ou quando é necessário desobstruir bloqueios); ou fins de treinamento (demonstração de operações). Nesses casos, a operação normal do sistema não pode ser simplesmente reiniciada, pois a pessoa interveniente estaria em perigo por movimentos e processos desencadeados por sinais de controle inseridos ou gerados erroneamente. Um reator para subsistemas operacionais deve atender aos seguintes requisitos:
Figura 4. Dispositivos acionadores nos redutores de comando dos subsistemas operacionais móveis e estacionários
O Interruptor de Emergência
Os interruptores de emergência são necessários sempre que o funcionamento normal de sistemas técnicos possa resultar em perigos que nem a conceção adequada do sistema nem a adoção de precauções de segurança adequadas são capazes de prevenir. Em subsistemas operacionais, a chave de emergência frequentemente faz parte do mecanismo de controle do subsistema operacional. Quando operado em caso de perigo, o interruptor de emergência implementa processos que retornam o sistema técnico a um estado operacional seguro o mais rápido possível. No que diz respeito às prioridades de segurança, a proteção das pessoas é a principal preocupação; a prevenção de danos ao material é secundária, a menos que este também possa colocar pessoas em perigo. O interruptor de emergência deve cumprir os seguintes requisitos:
Figura 5. Ilustração dos princípios dos painéis de controle em chaves de emergência
Dispositivo de controle do interruptor de função
Dispositivos de controle de chave de função são usados para ligar o sistema técnico para operação normal e para iniciar, implementar e interromper os movimentos e processos designados para operação normal. O dispositivo de controle do interruptor de função é usado exclusivamente durante a operação normal do sistema técnico, ou seja, durante a execução sem interrupções de todas as funções atribuídas. Ele é usado adequadamente pelas pessoas que executam o sistema técnico. Os dispositivos de controle do interruptor de função devem atender aos seguintes requisitos:
Figura 6. Representação esquemática de um painel de controle de operações
Chaves de monitoramento
Os interruptores de monitoramento impedem a partida do sistema técnico enquanto as condições de segurança monitoradas não forem atendidas e interrompem a operação assim que uma condição de segurança não for mais atendida. Eles são usados, por exemplo, para monitorar portas em compartimentos de proteção, para verificar a posição correta das proteções de segurança ou para garantir que os limites de velocidade ou percurso não sejam ultrapassados. As chaves de monitoramento devem atender aos seguintes requisitos de segurança e confiabilidade:
Figura 7. Diagrama de uma chave com operação mecânica positiva e desconexão positiva
Circuitos de controle de segurança
Vários dos dispositivos de comutação de segurança descritos acima não executam a função de segurança diretamente, mas sim emitindo um sinal que é então transmitido e processado por um circuito de controle de segurança e finalmente atinge as partes do sistema técnico que exercem a função de segurança real. O dispositivo de desconexão de segurança, por exemplo, freqüentemente causa a desconexão de energia em pontos críticos indiretamente, enquanto um interruptor principal geralmente desconecta diretamente o fornecimento de corrente ao sistema técnico.
Como os circuitos de controle de segurança devem transmitir sinais de segurança de forma confiável, os seguintes princípios devem ser levados em consideração:
Os componentes usados em circuitos de controle de segurança devem executar a função de segurança de maneira especialmente confiável. As funções dos componentes que não cumpram este requisito devem ser implementadas providenciando uma redundância tão diversificada quanto possível e devem ser mantidas sob vigilância.
Nos últimos anos, os microprocessadores desempenharam um papel cada vez maior no campo da tecnologia de segurança. Como computadores inteiros (ou seja, unidade central de processamento, memória e componentes periféricos) estão agora disponíveis em um único componente como “computadores de chip único”, a tecnologia de microprocessador está sendo empregada não apenas no controle de máquinas complexas, mas também em salvaguardas de design relativamente simples (por exemplo, grades de luz, dispositivos de controle bimanual e bordas de segurança). O software que controla esses sistemas compreende entre mil e várias dezenas de milhares de comandos únicos e geralmente consiste em várias centenas de ramificações do programa. Os programas operam em tempo real e são escritos principalmente na linguagem assembly dos programadores.
A introdução de sistemas controlados por computador na esfera da tecnologia de segurança foi acompanhada em todos os equipamentos técnicos de grande escala, não apenas por projetos caros de pesquisa e desenvolvimento, mas também por restrições significativas destinadas a aumentar a segurança. (A tecnologia aeroespacial, a tecnologia militar e a tecnologia de energia atômica podem ser citadas aqui como exemplos de aplicações em larga escala.) Até agora, o campo coletivo da produção industrial em massa foi tratado apenas de maneira muito limitada. Isso se deve em parte ao fato de que os rápidos ciclos de inovação característicos do projeto de máquinas industriais tornam difícil transferir, exceto de maneira muito restrita, o conhecimento que pode ser derivado de projetos de pesquisa relacionados ao teste final de máquinas em larga escala. dispositivos de segurança. Isso torna o desenvolvimento de procedimentos de avaliação rápidos e de baixo custo um desiderato (Reinert e Reuss 1991).
Este artigo primeiro examina máquinas e instalações nas quais os sistemas de computador atualmente executam tarefas de segurança, usando exemplos de acidentes que ocorrem predominantemente na área de proteção de máquinas para descrever o papel específico que os computadores desempenham na tecnologia de segurança. Esses acidentes dão algumas indicações sobre quais precauções devem ser tomadas para que os equipamentos de segurança controlados por computador, cada vez mais amplamente utilizados, não levem a um aumento no número de acidentes. A seção final do artigo esboça um procedimento que permitirá que até mesmo pequenos sistemas de computador sejam levados a um nível apropriado de segurança técnica a um custo justificável e dentro de um período de tempo aceitável. Os princípios indicados nesta parte final estão sendo introduzidos nos procedimentos de padronização internacional e terão implicações para todas as áreas de tecnologia de segurança nas quais os computadores encontram aplicação.
Exemplos de uso de software e computadores no campo de proteção de máquinas
Os quatro exemplos a seguir deixam claro que o software e os computadores estão entrando cada vez mais em aplicações relacionadas à segurança no domínio comercial.
As instalações de sinalização pessoal de emergência consistem, em regra, de uma estação central receptora e de vários dispositivos de sinalização pessoal de emergência. Os dispositivos são transportados por pessoas que trabalham sozinhas no local. Se alguma dessas pessoas trabalhando sozinhas se encontrar em uma situação de emergência, pode usar o dispositivo para disparar um alarme por sinal de rádio na estação receptora central. Tal disparo de alarme dependente da vontade também pode ser complementado por um mecanismo de disparo independente da vontade ativado por sensores embutidos nos dispositivos de emergência pessoais. Ambos os dispositivos individuais e a estação receptora central são freqüentemente controlados por microcomputadores. É concebível que a falha de funções individuais específicas do computador embutido possa levar, em uma situação de emergência, a uma falha no acionamento do alarme. Portanto, precauções devem ser tomadas para perceber e reparar essa perda de função a tempo.
As impressoras usadas hoje para imprimir revistas são máquinas grandes. As teias de papel são normalmente preparadas por uma máquina separada de modo a permitir uma transição perfeita para um novo rolo de papel. As páginas impressas são dobradas por uma máquina de dobragem e subsequentemente trabalhadas através de uma cadeia de outras máquinas. Isso resulta em paletes carregadas com revistas totalmente costuradas. Embora tais plantas sejam automatizadas, há dois pontos em que intervenções manuais devem ser feitas: (1) no enfiamento dos caminhos do papel e (2) na desobstrução causada por rasgos de papel em pontos perigosos dos rolos rotativos. Por esta razão, uma velocidade de operação reduzida ou um modo jogging limitado por caminho ou tempo deve ser assegurado pela tecnologia de controle enquanto as prensas estão sendo ajustadas. Devido aos complexos procedimentos de direção envolvidos, cada estação de impressão deve ser equipada com seu próprio controlador lógico programável. Qualquer falha que ocorra no controle de uma planta de impressão enquanto as grades de proteção estiverem abertas deve ser impedida de levar à inicialização inesperada de uma máquina parada ou à operação em excesso de velocidades apropriadamente reduzidas.
Em grandes fábricas e armazéns, veículos robóticos guiados automaticamente e sem motorista se movem em trilhos especialmente marcados. Esses trilhos podem ser percorridos a qualquer momento por pessoas, ou materiais e equipamentos podem ser deixados inadvertidamente nos trilhos, uma vez que não são separados estruturalmente de outras linhas de tráfego. Por esse motivo, algum tipo de equipamento de prevenção de colisão deve ser usado para garantir que o veículo seja parado antes que ocorra qualquer colisão perigosa com uma pessoa ou objeto. Em aplicações mais recentes, a prevenção de colisões é realizada por meio de scanners ultrassônicos ou de luz laser usados em combinação com um amortecedor de segurança. Como esses sistemas funcionam sob controle computadorizado, é possível configurar várias zonas de detecção permanentes para que um veículo modifique sua reação dependendo da zona de detecção específica em que uma pessoa se encontra. Falhas no dispositivo de proteção não devem levar a uma colisão perigosa com uma pessoa.
As guilhotinas do dispositivo de controle de corte de papel são usadas para pressionar e depois cortar pilhas grossas de papel. Eles são acionados por um dispositivo de controle bimanual. O usuário deve alcançar a zona de perigo da máquina após cada corte. Uma proteção imaterial, geralmente uma grade de luz, é usada em conjunto com o dispositivo de controle bimanual e um sistema seguro de controle da máquina para evitar ferimentos quando o papel é alimentado durante a operação de corte. Quase todas as guilhotinas maiores e mais modernas em uso hoje são controladas por sistemas de microcomputadores multicanal. Tanto a operação bimanual quanto a grade de luz também devem funcionar com segurança.
Acidentes com Sistemas Controlados por Computador
Em quase todos os campos de aplicação industrial, acidentes com software e computadores são relatados (Neumann 1994). Na maioria dos casos, as falhas do computador não causam ferimentos às pessoas. Tais falhas são, em qualquer caso, tornadas públicas apenas quando são de interesse público geral. Isso significa que os casos de mau funcionamento ou acidente relacionados a computadores e softwares que envolvem lesões a pessoas representam uma proporção relativamente alta de todos os casos divulgados. Infelizmente, os acidentes que não causam grande sensação pública não são investigados quanto às suas causas com a mesma intensidade que os acidentes mais proeminentes, geralmente em fábricas de grande porte. Por esta razão, os exemplos a seguir referem-se a quatro descrições de mau funcionamento ou acidentes típicos de sistemas controlados por computador fora do campo de proteção de máquinas, que são usados para sugerir o que deve ser levado em consideração quando são feitos julgamentos sobre tecnologia de segurança.
Acidentes causados por falhas aleatórias no hardware
O seguinte acidente foi causado por uma concentração de falhas aleatórias no hardware combinadas com falhas de programação: Um reator superaqueceu em uma fábrica de produtos químicos, após o que as válvulas de alívio foram abertas, permitindo que o conteúdo do reator fosse descarregado na atmosfera. Esse acidente ocorreu pouco tempo depois de um aviso ter sido dado de que o nível de óleo em uma caixa de câmbio estava muito baixo. A investigação cuidadosa do acidente mostrou que logo após o catalisador ter iniciado a reação no reator - em consequência do qual o reator teria exigido mais resfriamento - o computador, com base no relatório de baixos níveis de óleo na caixa de engrenagens, congelou todos magnitudes sob seu controle em um valor fixo. Isso manteve o fluxo de água fria em um nível muito baixo e, como resultado, o reator superaqueceu. Uma investigação mais aprofundada mostrou que a indicação de níveis baixos de óleo foi sinalizada por um componente defeituoso.
O software respondeu de acordo com a especificação com o disparo de um alarme e a fixação de todas as variáveis operativas. Isso foi consequência do estudo HAZOP (hazards and operability analysis) (Knowlton 1986) feito antes do evento, que exigia que todas as variáveis controladas não fossem modificadas em caso de falha. Como o programador não conhecia o procedimento em detalhes, este requisito foi interpretado como significando que os atuadores controlados (válvulas de controle neste caso) não deveriam ser modificados; nenhuma atenção foi dada à possibilidade de um aumento na temperatura. O programador não levou em consideração que, após receber um sinal errado, o sistema poderia se encontrar em uma situação dinâmica do tipo que exige a intervenção ativa do computador para evitar um acidente. Além disso, a situação que levou ao acidente era tão improvável que não havia sido analisada em detalhes no estudo HAZOP (Levenson 1986). Este exemplo fornece uma transição para uma segunda categoria de causas de acidentes de software e computador. Estas são as falhas sistemáticas que estão no sistema desde o início, mas que se manifestam apenas em algumas situações muito específicas que o desenvolvedor não levou em consideração.
Acidentes causados por falhas operacionais
Em testes de campo durante a inspeção final dos robôs, um técnico pegou emprestado o cassete de um robô vizinho e o substituiu por outro sem informar ao colega que o havia feito. Ao retornar ao local de trabalho, o colega inseriu o cassete errado. Como ele estava ao lado do robô e esperava uma sequência particular de movimentos dele - uma sequência que saiu diferente por causa do programa trocado - ocorreu uma colisão entre o robô e o humano. Este acidente descreve o exemplo clássico de uma falha operacional. O papel de tais falhas em mau funcionamento e acidentes está aumentando devido à crescente complexidade na aplicação de mecanismos de segurança controlados por computador.
Acidentes causados por falhas sistemáticas em hardware ou software
Um torpedo com ogiva deveria ter sido disparado para fins de treinamento, de um navio de guerra em alto mar. Devido a um defeito no aparelho de acionamento, o torpedo permaneceu no tubo do torpedo. O capitão decidiu retornar ao porto de origem para resgatar o torpedo. Pouco depois de o navio começar a voltar para casa, o torpedo explodiu. Uma análise do acidente revelou que os desenvolvedores do torpedo foram obrigados a construir no torpedo um mecanismo projetado para evitar que ele retorne à plataforma de lançamento após ter sido disparado, destruindo assim o navio que o lançou. O mecanismo escolhido para isso foi o seguinte: Após o disparo do torpedo foi feita uma verificação, utilizando o sistema de navegação inercial, para ver se o seu curso havia alterado 180°. Assim que o torpedo percebeu que havia girado 180°, o torpedo detonou imediatamente, supostamente a uma distância segura da plataforma de lançamento. Este mecanismo de detecção foi acionado no caso do torpedo que não havia sido lançado corretamente, fazendo com que o torpedo explodisse após o navio ter mudado seu curso em 180°. Este é um exemplo típico de acidente ocorrido por falha nas especificações. O requisito nas especificações de que o torpedo não deve destruir seu próprio navio caso seu curso mude não foi formulado com precisão suficiente; a precaução foi assim programada erroneamente. O erro tornou-se aparente apenas em uma situação particular, que o programador não havia levado em consideração como uma possibilidade.
Em 14 de setembro de 1993, um Lufthansa Airbus A 320 caiu ao pousar em Varsóvia (figura 1). Uma investigação cuidadosa do acidente mostrou que modificações na lógica de pouso do computador de bordo feitas após um acidente com um Boeing 767 da Lauda Air em 1991 foram parcialmente responsáveis por esse pouso forçado. O que aconteceu no acidente de 1991 foi que a deflexão do empuxo, que desvia parte dos gases do motor para frear o avião durante o pouso, foi acionada ainda no ar, forçando a máquina a um mergulho de nariz incontrolável. Por esta razão, um bloqueio eletrônico da deflexão de empuxo foi incorporado às máquinas Airbus. Esse mecanismo permitia que a deflexão do impulso entrasse em vigor somente após os sensores em ambos os conjuntos de trem de pouso terem sinalizado a compressão dos amortecedores sob a pressão das rodas tocando o solo. Com base em informações incorretas, os pilotos do avião em Varsóvia previram um forte vento lateral.
Figura 1. Lufthansa Airbus após acidente em Varsóvia 1993
Por esse motivo, eles trouxeram a máquina com uma leve inclinação e o Airbus pousou apenas com a roda direita, deixando o rolamento esquerdo com menos do que o peso total. Por conta do travamento eletrônico da deflexão de empuxo, o computador de bordo negou ao piloto pelo espaço de nove segundos manobras que teriam permitido ao avião pousar com segurança apesar das circunstâncias adversas. Este acidente demonstra muito claramente que as modificações nos sistemas de computador podem levar a situações novas e perigosas se o leque de suas possíveis consequências não for considerado com antecedência.
O seguinte exemplo de mau funcionamento também demonstra os efeitos desastrosos que a modificação de um único comando pode ter em sistemas de computador. O teor de álcool do sangue é determinado, em testes químicos, usando soro de sangue claro do qual os glóbulos sanguíneos foram previamente centrifugados. O teor de álcool do soro é, portanto, maior (por um fator de 1.2) do que o do sangue total mais espesso. Por esta razão, os valores de álcool no soro devem ser divididos por um fator de 1.2 a fim de estabelecer as partes por milhar legais e medicamente críticas. No teste interlaboratorial realizado em 1984, deveriam ser comparados os valores de alcoolemia apurados em testes idênticos, realizados em diferentes instituições de pesquisa com soro. Como era apenas uma questão de comparação, o comando para dividir por 1.2 foi apagado do programa em uma das instituições durante o experimento. Após o término do teste interlaboratorial, um comando para multiplicar por 1.2 foi introduzido erroneamente no programa neste local. Aproximadamente 1,500 valores incorretos de partes por mil foram calculados entre agosto de 1984 e março de 1985 como resultado. Esse erro foi crítico para a carreira profissional dos caminhoneiros com alcoolemia entre 1.0 e 1.3 por mil, uma vez que uma penalidade legal de cassação da carteira de habilitação por tempo prolongado é consequência de um valor de 1.3 por mil.
Acidentes causados por influências de tensões operacionais ou ambientais
Em consequência de uma perturbação causada pela recolha de desperdícios na área útil de uma puncionadora e mordiscada CNC (controlo numérico computadorizado), o utilizador efectuou a “paragem programada”. Ao tentar retirar os resíduos com as mãos, a haste da máquina começou a se mover apesar da parada programada e feriu gravemente o usuário. Uma análise do acidente revelou que não se tratava de um erro no programa. A inicialização inesperada não pôde ser reproduzida. Irregularidades semelhantes foram observadas no passado em outras máquinas do mesmo tipo. Parece plausível deduzir disso que o acidente deve ter sido causado por interferência eletromagnética. Acidentes semelhantes com robôs industriais são relatados no Japão (Neumann 1987).
Um mau funcionamento na sonda espacial Voyager 2 em 18 de janeiro de 1986 torna ainda mais clara a influência do estresse ambiental nos sistemas controlados por computador. Seis dias antes da aproximação mais próxima de Urano, grandes campos de linhas em preto e branco cobriam as fotos da Voyager 2. Uma análise precisa mostrou que um único bit em uma palavra de comando do subsistema de dados de voo causou a falha, observada como as imagens foram comprimidas na sonda. Este bit provavelmente foi deslocado dentro da memória do programa pelo impacto de uma partícula cósmica. A transmissão sem erros das fotografias comprimidas da sonda foi realizada apenas dois dias depois, usando um programa de substituição capaz de contornar o ponto de memória com falha (Laeser, McLaughlin e Wolff 1987).
Resumo dos acidentes apresentados
Os acidentes analisados mostram que certos riscos que podem ser negligenciados em condições que utilizam tecnologia eletromecânica simples, ganham importância quando se utiliza computadores. Os computadores permitem o processamento de funções de segurança complexas e específicas da situação. Uma especificação inequívoca, livre de erros, completa e testável de todas as funções de segurança torna-se, por isso, especialmente importante. Erros nas especificações são difíceis de descobrir e frequentemente são a causa de acidentes em sistemas complexos. Os controles livremente programáveis são geralmente introduzidos com a intenção de ser capaz de reagir com flexibilidade e rapidez às mudanças do mercado. As modificações, no entanto, especialmente em sistemas complexos, têm efeitos colaterais difíceis de prever. Todas as modificações devem, portanto, ser submetidas a um gerenciamento estritamente formal do procedimento de mudança, no qual uma separação clara das funções de segurança dos sistemas parciais não relevantes para a segurança ajudará a manter as consequências das modificações para a tecnologia de segurança fáceis de avaliar.
Os computadores funcionam com baixos níveis de eletricidade. Eles são, portanto, suscetíveis à interferência de fontes externas de radiação. Como a modificação de um único sinal entre milhões pode levar a um mau funcionamento, vale a pena dar atenção especial ao tema da compatibilidade eletromagnética em conexão com computadores.
Atualmente, a manutenção de sistemas controlados por computador está se tornando cada vez mais complexa e, portanto, menos clara. A ergonomia do software do usuário e do software de configuração está, portanto, se tornando mais interessante do ponto de vista da tecnologia de segurança.
Nenhum sistema de computador é 100% testável. Um mecanismo de controle simples com 32 portas de entrada binária e 1,000 caminhos de software diferentes requer 4.3 × 1012 testes para uma verificação completa. A uma taxa de 100 testes por segundo executados e avaliados, um teste completo levaria 1,362 anos.
Procedimentos e medidas para a melhoria dos dispositivos de segurança controlados por computador
Nos últimos 10 anos, foram desenvolvidos procedimentos que permitem o domínio de desafios específicos relacionados à segurança em conexão com computadores. Esses procedimentos tratam das falhas do computador descritas nesta seção. Os exemplos descritos de software e computadores em proteções de máquinas e os acidentes analisados mostram que a extensão dos danos e, portanto, também o risco envolvido em várias aplicações são extremamente variáveis. Fica claro, portanto, que os cuidados necessários para o aperfeiçoamento dos computadores e softwares utilizados na tecnologia de segurança devem ser estabelecidos em relação ao risco.
A Figura 2 mostra um procedimento qualitativo por meio do qual a redução de risco necessária obtida usando sistemas de segurança pode ser determinada independentemente da extensão e da frequência com que o dano ocorre (Bell e Reinert 1992). Os tipos de falhas em sistemas computacionais analisados na seção “Acidentes com sistemas controlados por computador” (acima) podem ser relacionados aos chamados Níveis de Integridade de Segurança, ou seja, as facilidades técnicas para redução de riscos.
Figura 2. Procedimento qualitativo para determinação de risco
A Figura 3 deixa claro que a eficácia das medidas tomadas, em qualquer caso, para reduzir o erro em software e computadores precisa crescer com risco crescente (DIN 1994; IEC 1993).
Figura 3, Eficácia das precauções tomadas contra erros independentemente do risco
A análise dos acidentes esboçados acima mostra que a falha das proteções controladas por computador é causada não apenas por falhas aleatórias de componentes, mas também por condições operacionais particulares que o programador não levou em consideração. As consequências não imediatamente óbvias das modificações do programa feitas durante a manutenção do sistema constituem outra fonte de erro. Conclui-se que podem ocorrer falhas em sistemas de segurança controlados por microprocessadores que, embora feitas durante o desenvolvimento do sistema, podem levar a uma situação perigosa apenas durante a operação. Precauções contra tais falhas devem, portanto, ser tomadas enquanto os sistemas relacionados à segurança estão em fase de desenvolvimento. Essas chamadas medidas de prevenção de falhas devem ser tomadas não apenas durante a fase de conceito, mas também no processo de desenvolvimento, instalação e modificação. Certas falhas podem ser evitadas se forem descobertas e corrigidas durante este processo (DIN 1990).
Como o último contratempo descrito deixa claro, a quebra de um único transistor pode levar à falha técnica de equipamentos automatizados de alta complexidade. Uma vez que cada circuito único é composto de muitos milhares de transistores e outros componentes, várias medidas de prevenção de falhas devem ser tomadas para reconhecer tais falhas como aparecem na operação e para iniciar uma reação apropriada no sistema de computador. A Figura 4 descreve tipos de falhas em sistemas eletrônicos programáveis, bem como exemplos de precauções que podem ser tomadas para evitar e controlar falhas em sistemas de computador (DIN 1990; IEC 1992).
Figura 4. Exemplos de precauções tomadas para controlar e evitar erros em sistemas de computador
Possibilidades e Perspectivas de Sistemas Eletrônicos Programáveis em Tecnologia de Segurança
Máquinas e instalações modernas estão se tornando cada vez mais complexas e devem realizar tarefas cada vez mais abrangentes em períodos de tempo cada vez mais curtos. Por esse motivo, os sistemas de computador dominaram quase todas as áreas da indústria desde meados da década de 1970. Esse aumento de complexidade por si só contribuiu significativamente para o aumento dos custos envolvidos na melhoria da tecnologia de segurança em tais sistemas. Embora o software e os computadores representem um grande desafio para a segurança no trabalho, eles também possibilitam a implementação de novos sistemas amigáveis ao erro no campo da tecnologia de segurança.
Um verso engraçado, mas instrutivo, de Ernst Jandl ajudará a explicar o que significa o conceito amigável ao erro. “Lichtung: Manche meinen lechts und rinks kann man nicht velwechsern, werch ein Illtum”. (“Dileção: Muitos acreditam que luz e reft não podem ser trocados por inteligência, que ellol”.) Apesar da troca de cartas r e a l, esta frase é facilmente compreendida por um ser humano adulto normal. Mesmo alguém com pouca fluência no idioma inglês pode traduzi-lo para o inglês. A tarefa é, no entanto, quase impossível para um computador tradutor sozinho.
Este exemplo mostra que um ser humano pode reagir de uma maneira muito mais amigável ao erro do que um computador de linguagem. Isso significa que os humanos, como todas as outras criaturas vivas, podem tolerar falhas referindo-se a elas na experiência. Se olharmos para as máquinas em uso hoje, veremos que a maioria das máquinas penaliza as falhas do usuário não com um acidente, mas com uma diminuição da produção. Esta propriedade leva à manipulação ou evasão de salvaguardas. A moderna informática coloca à disposição da segurança do trabalho sistemas que podem reagir de forma inteligente, ou seja, de forma modificada. Tais sistemas tornam possível um modo de comportamento amigável ao erro em novas máquinas. Eles alertam os usuários durante uma operação errada antes de tudo e desligam a máquina somente quando esta é a única maneira de evitar um acidente. A análise dos acidentes mostra que existe nesta área um potencial considerável de redução de acidentes (Reinert e Reuss 1991).
Um sistema automatizado híbrido (HAS) visa integrar as capacidades de máquinas artificialmente inteligentes (baseadas em tecnologia de computador) com as capacidades das pessoas que interagem com essas máquinas no curso de suas atividades de trabalho. As principais preocupações da utilização do HAS estão relacionadas a como os subsistemas humano e de máquina devem ser projetados para fazer o melhor uso do conhecimento e habilidades de ambas as partes do sistema híbrido, e como os operadores humanos e os componentes da máquina devem interagir uns com os outros. para garantir que suas funções se complementem. Muitos sistemas automatizados híbridos evoluíram como produtos de aplicações de metodologias modernas baseadas em informações e controle para automatizar e integrar diferentes funções de sistemas tecnológicos frequentemente complexos. O HAS foi originalmente identificado com a introdução de sistemas baseados em computador usados no projeto e operação de sistemas de controle em tempo real para reatores de energia nuclear, para plantas de processamento químico e para tecnologia de fabricação de peças discretas. HAS agora também pode ser encontrado em muitas indústrias de serviços, como controle de tráfego aéreo e procedimentos de navegação de aeronaves na área de aviação civil, e no projeto e uso de veículos inteligentes e sistemas de navegação rodoviária no transporte rodoviário.
Com o progresso contínuo na automação baseada em computador, a natureza das tarefas humanas em sistemas tecnológicos modernos muda daquelas que requerem habilidades motoras perceptuais para aquelas que exigem atividades cognitivas, que são necessárias para a resolução de problemas, para a tomada de decisões no monitoramento do sistema e para tarefas de controle de supervisão. Por exemplo, os operadores humanos em sistemas de manufatura integrados por computador atuam principalmente como monitores de sistema, solucionadores de problemas e tomadores de decisão. As atividades cognitivas do supervisor humano em qualquer ambiente HAS são (1) planejar o que deve ser feito em um determinado período de tempo, (2) elaborar procedimentos (ou etapas) para atingir o conjunto de metas planejadas, (3) monitorar o progresso de processos (tecnológicos), (4) “ensinar” o sistema através de um computador humano-interativo, (5) intervir se o sistema se comportar de forma anormal ou se as prioridades de controle mudarem e (6) aprender através do feedback do sistema sobre o impacto de ações de supervisão (Sheridan 1987).
Projeto de sistema híbrido
As interações homem-máquina em um HAS envolvem a utilização de loops de comunicação dinâmica entre os operadores humanos e as máquinas inteligentes - um processo que inclui detecção e processamento de informações e iniciação e execução de tarefas de controle e tomada de decisão - dentro de uma determinada estrutura de alocação de funções entre humanos e máquinas. No mínimo, as interações entre as pessoas e a automação devem refletir a alta complexidade dos sistemas automatizados híbridos, bem como as características relevantes dos operadores humanos e os requisitos da tarefa. Portanto, o sistema automatizado híbrido pode ser formalmente definido como um quíntuplo na seguinte fórmula:
TEM = (T, U, C, E, I)
onde T = requisitos da tarefa (físicos e cognitivos); U = características do usuário (físicas e cognitivas); C = as características de automação (hardware e software, incluindo interfaces de computador); E = ambiente do sistema; I = um conjunto de interações entre os elementos acima.
O conjunto de interações I incorpora todas as interações possíveis entre T, U e a C in E independentemente de sua natureza ou força de associação. Por exemplo, uma das interações possíveis pode envolver a relação dos dados armazenados na memória do computador com o conhecimento correspondente, se houver, do operador humano. As interações I pode ser elementar (ou seja, limitado a uma associação de um para um) ou complexo, como envolveria interações entre o operador humano, o software específico usado para realizar a tarefa desejada e a interface física disponível com o computador.
Os projetistas de muitos sistemas automatizados híbridos concentram-se principalmente na integração assistida por computador de máquinas sofisticadas e outros equipamentos como partes da tecnologia baseada em computador, raramente prestando muita atenção à necessidade primordial de integração humana efetiva dentro de tais sistemas. Portanto, atualmente, muitos dos sistemas integrados por computador (tecnológicos) não são totalmente compatíveis com as capacidades inerentes dos operadores humanos, expressas pelas habilidades e conhecimentos necessários para o controle e monitoramento eficazes desses sistemas. Tal incompatibilidade surge em todos os níveis de funcionamento humano, máquina e homem-máquina, e pode ser definida dentro de uma estrutura do indivíduo e de toda a organização ou instalação. Por exemplo, os problemas de integração de pessoas e tecnologia em empresas de manufatura avançada ocorrem no início do estágio de projeto do HAS. Esses problemas podem ser conceituados usando o seguinte modelo de integração de sistemas da complexidade das interações, I, entre os projetistas do sistema, D, operadores humanos, H, ou potenciais usuários do sistema e tecnologia, T:
Eu (H,T) = F [I (H, D), I (D, T)]
onde I representa interações relevantes que ocorrem em uma determinada estrutura do HAS, enquanto F indica relações funcionais entre designers, operadores humanos e tecnologia.
O modelo de integração do sistema acima destaca o fato de que as interações entre os usuários e a tecnologia são determinadas pelo resultado da integração das duas interações anteriores, ou seja, (1) aquelas entre designers HAS e usuários em potencial e (2) aquelas entre os designers e a tecnologia HAS (ao nível das máquinas e sua integração). Deve-se notar que, embora normalmente existam fortes interações entre os designers e a tecnologia, apenas alguns poucos exemplos de inter-relações igualmente fortes entre designers e operadores humanos podem ser encontrados.
Pode-se argumentar que, mesmo nos sistemas mais automatizados, a função humana permanece crítica para o desempenho bem-sucedido do sistema no nível operacional. Bainbridge (1983) identificou um conjunto de problemas relevantes para o funcionamento do HAS que se devem à própria natureza da automação, como se segue:
Alocação de tarefas
Uma das questões importantes para o projeto HAS é determinar quantas e quais funções ou responsabilidades devem ser alocadas para os operadores humanos, e quais e quantas para os computadores. Geralmente, existem três classes básicas de problemas de alocação de tarefas que devem ser consideradas: (1) a alocação de tarefas supervisor-computador humano, (2) a alocação de tarefas humano-humano e (3) a alocação de tarefas computador-computador de supervisão. Idealmente, as decisões de alocação devem ser feitas por meio de algum procedimento de alocação estruturado antes que o projeto básico do sistema seja iniciado. Infelizmente, esse processo sistemático raramente é possível, pois as funções a serem alocadas podem precisar de um exame mais aprofundado ou devem ser executadas interativamente entre os componentes do sistema humano e da máquina - isto é, por meio da aplicação do paradigma de controle supervisório. A alocação de tarefas em sistemas automatizados híbridos deve se concentrar na extensão das responsabilidades de supervisão humana e do computador e deve considerar a natureza das interações entre o operador humano e os sistemas computadorizados de suporte à decisão. Os meios de transferência de informações entre as máquinas e as interfaces de entrada-saída humanas e a compatibilidade do software com as habilidades cognitivas de resolução de problemas humanos também devem ser considerados.
Nas abordagens tradicionais para o projeto e gerenciamento de sistemas automatizados híbridos, os trabalhadores eram considerados como sistemas de entrada e saída determinísticos, e havia uma tendência a desconsiderar a natureza teleológica do comportamento humano – isto é, o comportamento orientado a objetivos que depende da aquisição de conhecimento. informações relevantes e a seleção de objetivos (Goodstein et al. 1988). Para ser bem-sucedido, o projeto e o gerenciamento de sistemas automatizados híbridos avançados devem ser baseados na descrição das funções mentais humanas necessárias para uma tarefa específica. A abordagem da “engenharia cognitiva” (descrita mais abaixo) propõe que os sistemas homem-máquina (híbridos) precisam ser concebidos, projetados, analisados e avaliados em termos de processos mentais humanos (ou seja, o modelo mental do operador dos sistemas adaptativos é levado em consideração conta). A seguir estão os requisitos da abordagem centrada no ser humano para o projeto e operação do HAS, conforme formulado por Corbett (1988):
Engenharia Cognitiva de Fatores Humanos
A engenharia cognitiva de fatores humanos se concentra em como os operadores humanos tomam decisões no local de trabalho, resolvem problemas, formulam planos e aprendem novas habilidades (Hollnagel e Woods, 1983). Os papéis dos operadores humanos que funcionam em qualquer HAS podem ser classificados usando o esquema de Rasmussen (1983) em três categorias principais:
Na concepção e gestão de um SHA, devem-se considerar as características cognitivas dos trabalhadores de forma a assegurar a compatibilidade do funcionamento do sistema com o modelo interno do trabalhador que descreve as suas funções. Consequentemente, o nível de descrição do sistema deve ser deslocado dos aspectos baseados em habilidades para os aspectos baseados em regras e conhecimento do funcionamento humano, e métodos apropriados de análise de tarefas cognitivas devem ser usados para identificar o modelo do operador de um sistema. Uma questão relacionada ao desenvolvimento de um HAS é o projeto de meios de transmissão de informações entre o operador humano e os componentes do sistema automatizado, tanto no nível físico quanto no cognitivo. Tal transferência de informação deve ser compatível com os modos de informação utilizados em diferentes níveis de operação do sistema – isto é, visual, verbal, tátil ou híbrido. Essa compatibilidade informacional garante que diferentes formas de transferência de informações exigirão uma incompatibilidade mínima entre o meio e a natureza da informação. Por exemplo, uma exibição visual é melhor para transmissão de informações espaciais, enquanto a entrada auditiva pode ser usada para transmitir informações textuais.
Muitas vezes, o operador humano desenvolve um modelo interno que descreve a operação e a função do sistema de acordo com sua experiência, treinamento e instruções em conexão com o tipo de interface homem-máquina fornecido. À luz desta realidade, os projetistas de um HAS devem tentar construir nas máquinas (ou outros sistemas artificiais) um modelo das características físicas e cognitivas do operador humano – ou seja, a imagem do sistema do operador (Hollnagel e Woods 1983). . Os projetistas de um HAS também devem levar em consideração o nível de abstração na descrição do sistema, bem como várias categorias relevantes do comportamento do operador humano. Esses níveis de abstração para modelar o funcionamento humano no ambiente de trabalho são os seguintes (Rasmussen 1983): (1) forma física (estrutura anatômica), (2) funções físicas (funções fisiológicas), (3) funções generalizadas (mecanismos psicológicos e funções cognitivas). e processos afetivos), (4) funções abstratas (processamento de informações) e (5) propósito funcional (estruturas de valor, mitos, religiões, interações humanas). Esses cinco níveis devem ser considerados simultaneamente pelos projetistas para garantir o desempenho efetivo do HAS.
Projeto de software do sistema
Como o software de computador é um componente primário de qualquer ambiente HAS, o desenvolvimento de software, incluindo design, teste, operação e modificação, e questões de confiabilidade de software também devem ser considerados nos estágios iniciais do desenvolvimento HAS. Por este meio, deve-se ser capaz de reduzir o custo de detecção e eliminação de erros de software. É difícil, no entanto, estimar a confiabilidade dos componentes humanos de um HAS, devido às limitações em nossa capacidade de modelar o desempenho de tarefas humanas, a carga de trabalho relacionada e os erros potenciais. A carga mental excessiva ou insuficiente pode levar à sobrecarga de informações e ao tédio, respectivamente, e pode resultar na degradação do desempenho humano, levando a erros e ao aumento da probabilidade de acidentes. Os projetistas de um HAS devem empregar interfaces adaptativas, que utilizam técnicas de inteligência artificial, para resolver esses problemas. Além da compatibilidade homem-máquina, a questão da adaptabilidade homem-máquina entre si deve ser considerada para reduzir os níveis de estresse que surgem quando as capacidades humanas podem ser excedidas.
Devido ao alto nível de complexidade de muitos sistemas automatizados híbridos, a identificação de quaisquer riscos potenciais relacionados ao hardware, software, procedimentos operacionais e interações homem-máquina desses sistemas torna-se fundamental para o sucesso dos esforços voltados para a redução de lesões e danos aos equipamentos . Os riscos de segurança e saúde associados a sistemas automatizados híbridos complexos, como a tecnologia de fabricação integrada por computador (CIM), são claramente um dos aspectos mais críticos do projeto e operação do sistema.
Problemas de segurança do sistema
Ambientes automatizados híbridos, com seu potencial significativo para comportamento errático do software de controle sob condições de perturbação do sistema, criam uma nova geração de riscos de acidentes. À medida que os sistemas automatizados híbridos se tornam mais versáteis e complexos, os distúrbios do sistema, incluindo problemas de inicialização e desligamento e desvios no controle do sistema, podem aumentar significativamente a possibilidade de sérios perigos para os operadores humanos. Ironicamente, em muitas situações anormais, os operadores geralmente confiam no bom funcionamento dos subsistemas de segurança automatizados, uma prática que pode aumentar o risco de ferimentos graves. Por exemplo, um estudo de acidentes relacionados a mau funcionamento de sistemas de controle técnico mostrou que cerca de um terço das sequências de acidentes incluíram intervenção humana no circuito de controle do sistema perturbado.
Como as medidas de segurança tradicionais não podem ser facilmente adaptadas às necessidades dos ambientes HAS, as estratégias de controle de lesões e prevenção de acidentes precisam ser reconsideradas em vista das características inerentes a esses sistemas. Por exemplo, na área de tecnologia de fabricação avançada, muitos processos são caracterizados pela existência de quantidades substanciais de fluxos de energia que não podem ser facilmente antecipados pelos operadores humanos. Além disso, os problemas de segurança geralmente surgem nas interfaces entre os subsistemas ou quando as perturbações do sistema progridem de um subsistema para outro. De acordo com a International Organization for Standardization (ISO 1991), os riscos associados aos perigos devidos à automação industrial variam com os tipos de máquinas industriais incorporadas ao sistema de fabricação específico e com as formas como o sistema é instalado, programado, operado, mantido e reparado. Por exemplo, uma comparação de acidentes relacionados a robôs na Suécia com outros tipos de acidentes mostrou que os robôs podem ser as máquinas industriais mais perigosas usadas na indústria de manufatura avançada. A taxa estimada de acidentes para robôs industriais foi de um acidente grave por 45 robôs-ano, uma taxa mais alta do que para prensas industriais, que foi relatada como um acidente por 50 máquinas-ano. Deve-se notar aqui que as prensas industriais nos Estados Unidos foram responsáveis por cerca de 23% de todas as fatalidades relacionadas a máquinas de usinagem no período de 1980 a 1985, com as prensas mecânicas classificadas em primeiro lugar em relação ao produto de frequência de gravidade para lesões não fatais.
No domínio da tecnologia de fabricação avançada, existem muitas peças móveis que são perigosas para os trabalhadores, pois mudam de posição de maneira complexa fora do campo visual dos operadores humanos. Os rápidos desenvolvimentos tecnológicos na manufatura integrada por computador criaram uma necessidade crítica de estudar os efeitos da tecnologia de manufatura avançada sobre os trabalhadores. A fim de identificar os perigos causados por vários componentes de tal ambiente HAS, os acidentes anteriores precisam ser cuidadosamente analisados. Infelizmente, acidentes envolvendo o uso de robôs são difíceis de isolar de relatórios de acidentes relacionados a máquinas operadas por humanos e, portanto, pode haver uma alta porcentagem de acidentes não registrados. As regras de saúde e segurança ocupacional do Japão afirmam que “os robôs industriais não possuem atualmente meios confiáveis de segurança e os trabalhadores não podem ser protegidos deles, a menos que seu uso seja regulamentado”. Por exemplo, os resultados da pesquisa realizada pelo Ministério do Trabalho do Japão (Sugimoto 1987) de acidentes relacionados a robôs industriais nas 190 fábricas pesquisadas (com 4,341 robôs em funcionamento) mostraram que houve 300 distúrbios relacionados a robôs, dos quais 37 casos de atos inseguros resultaram em alguns quase-acidentes, 9 foram acidentes que produziram lesões e 2 foram acidentes fatais. Os resultados de outros estudos indicam que a automação baseada em computador não aumenta necessariamente o nível geral de segurança, pois o hardware do sistema não pode ser protegido contra falhas apenas por funções de segurança no software do computador, e os controladores do sistema nem sempre são altamente confiáveis. Além disso, em um HAS complexo, não se pode depender exclusivamente de dispositivos de detecção de segurança para detectar condições perigosas e adotar estratégias adequadas de prevenção de perigos.
Efeitos da Automação na Saúde Humana
Conforme discutido acima, as atividades do trabalhador em muitos ambientes HAS são basicamente aquelas de controle de supervisão, monitoramento, suporte e manutenção do sistema. Essas atividades também podem ser classificadas em quatro grupos básicos, como segue: (1) tarefas de programação, ou seja, codificação das informações que guiam e dirigem a operação do maquinário, (2) monitoramento da produção HAS e componentes de controle, (3) manutenção dos componentes HAS para evitar ou aliviar o mau funcionamento do maquinário e (4) executar uma variedade de tarefas de suporte, etc. Muitas revisões recentes do impacto do HAS no bem-estar do trabalhador concluíram que, embora a utilização de um HAS na área de fabricação possa eliminar tarefas pesadas e perigosas , trabalhar em ambiente de HAS pode ser insatisfatório e estressante para os trabalhadores. As fontes de estresse incluíam o monitoramento constante exigido em muitas aplicações HAS, o escopo limitado das atividades alocadas, o baixo nível de interação do trabalhador permitido pelo projeto do sistema e os riscos de segurança associados à natureza imprevisível e incontrolável do equipamento. Ainda que alguns trabalhadores envolvidos em atividades de programação e manutenção sintam os elementos de desafio, que podem ter efeitos positivos no seu bem-estar, estes efeitos são muitas vezes compensados pela natureza complexa e exigente destas atividades, bem como pela pressão exercida pela administração para concluir essas atividades rapidamente.
Embora em alguns ambientes HAS os operadores humanos sejam afastados das fontes tradicionais de energia (fluxo de trabalho e movimentação da máquina) durante as condições normais de operação, muitas tarefas em sistemas automatizados ainda precisam ser realizadas em contato direto com outras fontes de energia. Uma vez que o número de diferentes componentes do HAS está aumentando continuamente, deve-se dar ênfase especial ao conforto e segurança dos trabalhadores e ao desenvolvimento de dispositivos eficazes de controle de lesões, especialmente em vista do fato de que os trabalhadores não são mais capazes de acompanhar as sofisticação e complexidade de tais sistemas.
A fim de atender às necessidades atuais de controle de lesões e segurança do trabalhador em sistemas de manufatura integrados por computador, o Comitê ISO de Sistemas de Automação Industrial propôs um novo padrão de segurança intitulado “Segurança de Sistemas Integrados de Manufatura” (1991). Esta nova norma internacional, que foi desenvolvida em reconhecimento aos perigos específicos que existem em sistemas integrados de fabricação que incorporam máquinas industriais e equipamentos associados, visa minimizar as possibilidades de ferimentos ao pessoal durante o trabalho ou adjacente a um sistema integrado de fabricação. As principais fontes de perigos potenciais para os operadores humanos em CIM identificados por esta norma são mostrados na figura 1.
Figura 1. Principal fonte de perigos na manufatura integrada por computador (CIM) (depois da ISO 1991)
Erros humanos e do sistema
Em geral, os perigos em um HAS podem surgir do próprio sistema, de sua associação com outros equipamentos presentes no ambiente físico ou de interações do pessoal humano com o sistema. Um acidente é apenas um dos vários resultados das interações homem-máquina que podem surgir em condições perigosas; quase acidentes e incidentes de danos são muito mais comuns (Zimolong e Duda 1992). A ocorrência de um erro pode levar a uma destas consequências: (1) o erro passa despercebido, (2) o sistema pode compensar o erro, (3) o erro leva a uma avaria da máquina e/ou paragem do sistema ou (4 ) o erro leva a um acidente.
Uma vez que nem todo erro humano que resulta em um incidente crítico causará um acidente real, é apropriado distinguir ainda mais entre as categorias de resultados da seguinte forma: (1) um incidente inseguro (ou seja, qualquer ocorrência não intencional, independentemente de resultar em ferimentos, danos ou perda), (2) um acidente (ou seja, um evento inseguro que resulta em lesão, dano ou perda), (3) um incidente de dano (ou seja, um evento inseguro que resulta apenas em algum tipo de dano material), (4) um quase acidente ou “quase acidente” (ou seja, um evento inseguro no qual ferimentos, danos ou perdas foram fortuitamente evitados por uma margem estreita) e (5) a existência de potencial acidente (ou seja, eventos inseguros que poderiam ter resultado em ferimentos, danos , ou perda, mas, devido às circunstâncias, não resultou nem mesmo em um quase acidente).
Pode-se distinguir três tipos básicos de erro humano em um HAS:
Esta taxonomia, desenvolvida por Reason (1990), é baseada em uma modificação da classificação habilidade-regra-conhecimento de Rasmussen do desempenho humano conforme descrito acima. No nível baseado em habilidades, o desempenho humano é governado por padrões armazenados de instruções pré-programadas representadas como estruturas analógicas em um domínio de espaço-tempo. O nível baseado em regras é aplicável ao tratamento de problemas familiares nos quais as soluções são regidas por regras armazenadas (chamadas “produções”, uma vez que são acessadas ou produzidas conforme a necessidade). Essas regras exigem que certos diagnósticos (ou julgamentos) sejam feitos, ou certas ações corretivas sejam tomadas, uma vez que surgiram certas condições que exigem uma resposta adequada. A este nível, os erros humanos estão normalmente associados à classificação errada de situações, levando à aplicação da regra errada ou à recordação incorreta de julgamentos ou procedimentos consequentes. Erros baseados em conhecimento ocorrem em situações novas para as quais as ações devem ser planejadas “on-line” (em um determinado momento), usando processos analíticos conscientes e conhecimento armazenado. Erros neste nível surgem de limitações de recursos e conhecimento incompleto ou incorreto.
Os sistemas genéricos de modelagem de erros (GEMS) propostos por Reason (1990), que tentam localizar as origens dos tipos básicos de erros humanos, podem ser usados para derivar a taxonomia geral do comportamento humano em um HAS. O GEMS busca integrar duas áreas distintas de pesquisa de erros: (1) deslizes e lapsos, nos quais as ações se desviam da intenção atual devido a falhas de execução e/ou falhas de armazenamento e (2) erros, nos quais as ações podem ocorrer de acordo com o planejado, mas o plano é inadequado para alcançar o resultado desejado.
Avaliação e Prevenção de Riscos em CIM
De acordo com a ISO (1991), a avaliação de risco em CIM deve ser realizada de forma a minimizar todos os riscos e servir como base para determinar objetivos e medidas de segurança no desenvolvimento de programas ou planos, tanto para criar um ambiente de trabalho seguro quanto para garantir também a segurança e a saúde do pessoal. Por exemplo, os riscos de trabalho em ambientes HAS baseados em manufatura podem ser caracterizados da seguinte forma: (1) o operador humano pode precisar entrar na zona de perigo durante a recuperação de distúrbios, serviços e tarefas de manutenção, (2) a zona de perigo é difícil de determinar, perceber e controlar, (3) o trabalho pode ser monótono e (4) os acidentes que ocorrem em sistemas de manufatura integrados por computador são frequentemente graves. Cada perigo identificado deve ser avaliado quanto ao seu risco, e medidas de segurança apropriadas devem ser determinadas e implementadas para minimizar esse risco. Os perigos também devem ser verificados em relação a todos os seguintes aspectos de qualquer processo: a própria unidade; a interação entre unidades individuais; as seções operacionais do sistema; e a operação do sistema completo para todos os modos e condições operacionais pretendidos, incluindo condições sob as quais os meios normais de proteção são suspensos para operações como programação, verificação, solução de problemas, manutenção ou reparo.
A fase de projeto da estratégia de segurança ISO (1991) para CIM inclui:
A especificação de segurança do sistema deve incluir:
De acordo com a ISO (1991), todos os requisitos necessários para garantir uma operação segura do sistema CIM precisam ser considerados no projeto de procedimentos sistemáticos de planejamento de segurança. Isso inclui todas as medidas de proteção para reduzir efetivamente os perigos e requer:
O procedimento de planejamento de segurança deve abordar, entre outros, as seguintes questões de segurança do CIM:
Controle de Perturbação do Sistema
Em muitas instalações HAS utilizadas na área de fabricação integrada por computador, normalmente são necessários operadores humanos para fins de controle, programação, manutenção, pré-configuração, manutenção ou tarefas de solução de problemas. Distúrbios no sistema levam a situações que obrigam a entrada de trabalhadores nas áreas perigosas. A este respeito, pode-se supor que as perturbações continuam sendo a razão mais importante para a interferência humana no CIM, porque os sistemas serão frequentemente programados de fora das áreas restritas. Uma das questões mais importantes para a segurança do CIM é evitar distúrbios, pois a maioria dos riscos ocorre na fase de solução de problemas do sistema. A prevenção de perturbações é o objetivo comum no que diz respeito à segurança e à relação custo-eficácia.
Uma perturbação em um sistema CIM é um estado ou função de um sistema que se desvia do estado planejado ou desejado. Além da produtividade, as perturbações durante a operação de um CIM afetam diretamente a segurança das pessoas envolvidas na operação do sistema. Um estudo finlandês (Kuivanen 1990) mostrou que cerca de metade das perturbações na manufatura automatizada diminuem a segurança dos trabalhadores. As principais causas de distúrbios foram erros no projeto do sistema (34%), falhas de componentes do sistema (31%), erro humano (20%) e fatores externos (15%). A maioria das falhas das máquinas foi causada pelo sistema de controle, sendo que, no sistema de controle, a maioria das falhas ocorreu nos sensores. Uma forma eficaz de aumentar o nível de segurança das instalações CIM é reduzir o número de perturbações. Embora as ações humanas em sistemas perturbados impeçam a ocorrência de acidentes no ambiente de HAS, também contribuem para que ocorram. Por exemplo, um estudo de acidentes relacionados a mau funcionamento de sistemas de controle técnico mostrou que cerca de um terço das sequências de acidentes incluíram intervenção humana no circuito de controle do sistema perturbado.
As principais questões de pesquisa na prevenção de perturbações CIM dizem respeito a (1) principais causas de perturbações, (2) componentes e funções não confiáveis, (3) o impacto das perturbações na segurança, (4) o impacto das perturbações na função do sistema, ( 5) danos materiais e (6) reparos. A segurança do HAS deve ser planejada no início do estágio de projeto do sistema, com a devida consideração de tecnologia, pessoas e organização, e ser parte integrante do processo geral de planejamento técnico do HAS.
HAS Design: Desafios Futuros
Para garantir o máximo benefício dos sistemas automatizados híbridos, conforme discutido acima, é necessária uma visão muito mais ampla do desenvolvimento do sistema, baseada na integração de pessoas, organização e tecnologia. Três tipos principais de integração do sistema devem ser aplicados aqui:
Os requisitos mínimos de projeto para sistemas automatizados híbridos devem incluir o seguinte: (1) flexibilidade, (2) adaptação dinâmica, (3) capacidade de resposta aprimorada e (4) a necessidade de motivar as pessoas e fazer melhor uso de suas habilidades, julgamento e experiência . O acima também exige que as estruturas organizacionais, práticas de trabalho e tecnologias do HAS sejam desenvolvidas para permitir que pessoas em todos os níveis do sistema adaptem suas estratégias de trabalho à variedade de situações de controle de sistemas. Portanto, as organizações, práticas de trabalho e tecnologias de HAS terão que ser projetadas e desenvolvidas como sistemas abertos (Kidd 1994).
Um sistema automatizado híbrido aberto (OHAS) é um sistema que recebe entradas e envia saídas para seu ambiente. A ideia de sistema aberto pode ser aplicada não apenas a arquiteturas de sistemas e estruturas organizacionais, mas também a práticas de trabalho, interfaces humano-computador e relacionamento entre pessoas e tecnologias: pode-se citar, por exemplo, sistemas de agendamento, sistemas de controle e Sistemas de Suporte à Decisão. Um sistema aberto também é adaptativo quando permite às pessoas um grande grau de liberdade para definir o modo de operação do sistema. Por exemplo, na área de manufatura avançada, os requisitos de um sistema automatizado híbrido aberto podem ser atendidos por meio do conceito de Manufatura Humana e Integrada por Computador (HCIM). Nessa visão, o design da tecnologia deve abordar a arquitetura geral do sistema HCIM, incluindo o seguinte: (1) considerações da rede de grupos, (2) a estrutura de cada grupo, (3) a interação entre os grupos, (4) a natureza do software de suporte e (5) comunicação técnica e necessidades de integração entre os módulos de software de suporte.
O sistema automatizado híbrido adaptativo, ao contrário do sistema fechado, não restringe o que os operadores humanos podem fazer. O papel do designer de um HAS é criar um sistema que satisfaça as preferências pessoais do usuário e permita que seus usuários trabalhem da maneira que acharem mais apropriada. Um pré-requisito para permitir a entrada do usuário é o desenvolvimento de uma metodologia de design adaptável, ou seja, um OHAS que permita a tecnologia assistida por computador para sua implementação no processo de design. A necessidade de desenvolver uma metodologia para design adaptativo é um dos requisitos imediatos para concretizar o conceito OHAS na prática. Um novo nível de tecnologia adaptativa de controle de supervisão humana também precisa ser desenvolvido. Essa tecnologia deve permitir que o operador humano “veja através” do sistema de controle invisível do funcionamento do HAS – por exemplo, pela aplicação de um sistema de vídeo interativo de alta velocidade em cada ponto de controle e operação do sistema. Finalmente, uma metodologia para o desenvolvimento de um suporte baseado em computador inteligente e altamente adaptável de papéis humanos e funcionamento humano nos sistemas automatizados híbridos também é muito necessária.
É geralmente aceito que os sistemas de controle devem ser seguros durante o uso. Com isso em mente, a maioria dos sistemas de controle modernos são projetados conforme mostrado na figura 1.
Figura 1. Projeto geral de sistemas de controle
A maneira mais simples de tornar um sistema de controle seguro é construir uma parede impenetrável ao seu redor para impedir o acesso humano ou a interferência na zona de perigo. Tal sistema seria muito seguro, embora impraticável, pois seria impossível obter acesso para realizar a maioria dos trabalhos de teste, reparo e ajuste. Como o acesso a zonas de perigo deve ser permitido sob certas condições, outras medidas de proteção além de paredes, cercas e similares são necessárias para facilitar a produção, instalação, manutenção e manutenção.
Algumas dessas medidas de proteção podem ser parcial ou totalmente integradas aos sistemas de controle, como segue:
Esses tipos de medidas de proteção são ativados pelos operadores. No entanto, como os seres humanos geralmente representam um ponto fraco nos aplicativos, muitas funções, como as seguintes, são executadas automaticamente:
O funcionamento normal dos sistemas de controle é a pré-condição mais importante para a produção. Se uma função de produção for interrompida devido a uma falha de controle, é no máximo inconveniente, mas não perigoso. Se uma função relevante para a segurança não for executada, pode resultar em perda de produção, danos ao equipamento, ferimentos ou até morte. Portanto, as funções do sistema de controle relevantes para a segurança devem ser mais confiáveis e seguras do que as funções normais do sistema de controle. De acordo com a Diretiva do Conselho Europeu 89/392/EEC (Diretrizes de Máquinas), os sistemas de controle devem ser projetados e construídos de modo que sejam seguros e confiáveis.
Os controles consistem em vários componentes conectados entre si para executar uma ou mais funções. Os controles são subdivididos em canais. Um canal é a parte de um controle que executa uma função específica (por exemplo, partida, parada, parada de emergência). Fisicamente, o canal é criado por uma cadeia de componentes (transistores, diodos, relés, portas, etc.) através dos quais, de um componente para o próximo, as informações (principalmente elétricas) que representam essa função são transferidas da entrada para a saída.
Ao projetar canais de controle para funções relevantes para a segurança (aquelas funções que envolvem humanos), os seguintes requisitos devem ser atendidos:
Confiabilidade
Confiabilidade é a capacidade de um canal de controle ou componente de executar uma função necessária sob condições especificadas por um determinado período de tempo sem falhar. (A probabilidade de componentes específicos ou canais de controle pode ser calculada usando métodos adequados.) A confiabilidade sempre deve ser especificada para um valor de tempo específico. Geralmente, a confiabilidade pode ser expressa pela fórmula na figura 2.
Figura 2. Fórmula de confiabilidade
Confiabilidade de sistemas complexos
Os sistemas são construídos a partir de componentes. Se as confiabilidades dos componentes forem conhecidas, a confiabilidade do sistema como um todo pode ser calculada. Nesses casos, aplica-se o seguinte:
Sistemas seriais
A confiabilidade total Rmorto de um sistema serial composto por N componentes de mesma confiabilidade RC é calculado como na figura 3.
Figura 3. Gráfico de confiabilidade de componentes conectados em série
A confiabilidade total é menor do que a confiabilidade do componente menos confiável. À medida que o número de componentes conectados em série aumenta, a confiabilidade total da cadeia cai significativamente.
Sistemas paralelos
A confiabilidade total Rmorto de um sistema paralelo consistindo de N componentes da mesma confiabilidade RC é calculado como na figura 4.
Figura 4. Gráfico de confiabilidade de componentes conectados em paralelo
A confiabilidade total pode ser melhorada significativamente através da conexão paralela de dois ou mais componentes.
A Figura 5 ilustra um exemplo prático. Observe que o circuito desligará o motor de forma mais confiável. Mesmo que o relé A ou B não abra seu contato, o motor ainda será desligado.
Figura 5. Exemplo prático da figura 4
Calcular a confiabilidade total de um canal é simples se todas as confiabilidades de componentes necessárias forem conhecidas e disponíveis. No caso de componentes complexos (circuitos integrados, microprocessadores, etc.) o cálculo da confiabilidade total é difícil ou impossível se as informações necessárias não forem publicadas pelo fabricante.
Segurança
Quando os profissionais falam sobre segurança e pedem máquinas seguras, eles querem dizer a segurança de toda a máquina ou sistema. Essa segurança é, no entanto, muito geral e não definida com precisão suficiente para o projetista de controles. A seguinte definição de segurança pode ser prático e utilizável para projetistas de circuitos de controle: Segurança é a capacidade de um sistema de controle de executar a função necessária dentro de limites prescritos, por um determinado período, mesmo quando ocorrer(em) falha(s) antecipada(s). Consequentemente, deve ser esclarecido durante o projeto o quão “seguro” o canal relacionado à segurança deve ser. (O projetista pode desenvolver um canal que seja seguro contra a primeira falha, contra qualquer falha, contra duas falhas, etc.) Além disso, um canal que executa uma função usada para prevenir acidentes pode ser essencialmente confiável, mas não tem para estar inevitavelmente seguro contra falhas. Isso pode ser melhor explicado pelos seguintes exemplos:
Exemplo 1
O exemplo ilustrado na figura 6 é um canal de controle relevante para a segurança que executa a função de segurança necessária. O primeiro componente pode ser um interruptor que monitora, por exemplo, a posição de uma porta de acesso a uma área perigosa. O último componente é um motor que aciona as partes mecânicas em movimento dentro da área de perigo.
Figura 6. Um canal de controle relevante para segurança executando a função de segurança necessária
A função de segurança necessária neste caso é dupla: Se a porta estiver fechada, o motor pode funcionar. Se a porta estiver aberta, o motor deve ser desligado. Conhecendo as confiabilidades R1 para R6, é possível calcular a confiabilidade Rpequeno. Os projetistas devem usar componentes confiáveis para manter a confiabilidade suficientemente alta de todo o sistema de controle (ou seja, a probabilidade de que esta função ainda possa ser executada em, digamos, até 20 anos deve ser contabilizada no projeto). Como resultado, os projetistas devem cumprir duas tarefas: (1) o circuito deve desempenhar a função necessária e (2) a confiabilidade dos componentes e de todo o canal de controle deve ser adequada.
A seguinte pergunta agora deve ser feita: O canal acima mencionado executará as funções de segurança necessárias mesmo se ocorrer uma falha no sistema (por exemplo, se um contato de relé travar ou um componente apresentar mau funcionamento)? A resposta é não". A razão é que um único canal de controle consistindo apenas em componentes conectados em série e trabalhando com sinais estáticos não é seguro contra uma falha. O canal pode ter apenas uma certa confiabilidade, o que garante a probabilidade de que a função seja executada. Em tais situações, a segurança é sempre entendida como relacionado a falha.
Exemplo 2
Para que um canal de controle seja confiável e seguro, o projeto deve ser modificado conforme a figura 7. O exemplo ilustrado é um canal de controle relevante para a segurança que consiste em dois subcanais totalmente separados.
Figura 7. Um canal de controle relevante para segurança com dois subcanais totalmente separados
Este projeto é seguro contra a primeira falha (e possíveis falhas futuras no mesmo subcanal), mas não é seguro contra duas falhas que podem ocorrer em dois subcanais diferentes (simultaneamente ou em momentos diferentes) porque não há circuito de detecção de falha. Conseqüentemente, inicialmente ambos os subcanais funcionam com alta confiabilidade (ver sistema paralelo), mas após a primeira falha, apenas um subcanal funcionará e a confiabilidade diminui. Caso ocorra uma segunda falha no subcanal ainda funcionando, ambos terão falhado e a função de segurança não será mais executada.
Exemplo 3
O exemplo ilustrado na figura 8 é um canal de controle relevante para a segurança que consiste em dois subcanais totalmente separados que monitoram um ao outro.
Figura 8. Um canal de controle relevante para segurança com dois subcanais totalmente separados que monitoram um ao outro
Tal projeto é à prova de falhas porque, após qualquer falha, apenas um subcanal não funcionará, enquanto o outro subcanal permanece disponível e executará a função de segurança. Além disso, o projeto possui um circuito de detecção de falhas. Se, devido a uma falha, ambos os subcanais não funcionarem da mesma forma, esta condição será detectada pelo circuito “exclusivo ou”, resultando no desligamento automático da máquina. Esta é uma das melhores maneiras de projetar controles de máquinas - projetando subcanais relevantes para a segurança. Eles são seguros contra uma falha e, ao mesmo tempo, fornecem confiabilidade suficiente para que as chances de duas falhas ocorrerem simultaneamente sejam minúsculas.
Redundância
É evidente que existem vários métodos pelos quais um projetista pode melhorar a confiabilidade e/ou segurança (contra falhas). Os exemplos anteriores ilustram como uma função (isto é, porta fechada, motor pode funcionar; porta aberta, motor deve ser parado) pode ser realizada por várias soluções. Alguns métodos são muito simples (um subcanal) e outros mais complicados (dois subcanais com supervisão mútua). (Veja a figura 9.)
Figura 9. Confiabilidade de sistemas redundantes com ou sem detecção de falhas
Existe uma certa redundância nos circuitos e/ou componentes complexos em comparação com os simples. Redundância pode ser definido da seguinte forma: (1) Redundância é a presença de mais meios (componentes, canais, fatores de segurança maiores, testes adicionais e assim por diante) do que realmente é necessário para o simples cumprimento da função desejada; (2) a redundância obviamente não “melhora” a função, que é executada de qualquer maneira. A redundância apenas melhora a confiabilidade e/ou a segurança.
Alguns profissionais de segurança acreditam que a redundância é apenas a duplicação ou triplicação, e assim por diante, do sistema. Esta é uma interpretação muito limitada, pois a redundância pode ser interpretada de forma muito mais ampla e flexível. A redundância pode ser incluída não apenas no hardware; pode ser incluído no software também. A melhoria do fator de segurança (por exemplo, uma corda mais forte em vez de uma corda mais fraca) também pode ser considerada uma forma de redundância.
Entropia
Entropia, termo encontrado principalmente na termodinâmica e na astronomia, pode ser definido da seguinte forma: Tudo tende à decadência. Portanto, é absolutamente certo que todos os componentes, subsistemas ou sistemas, independentemente da tecnologia utilizada, falharão em algum momento. Isso significa que não existem sistemas, subsistemas ou componentes 100% confiáveis e/ou seguros. Todos eles são apenas mais ou menos confiáveis e seguros, dependendo da complexidade da estrutura. As falhas que inevitavelmente ocorrem mais cedo ou mais tarde demonstram a ação da entropia.
O único meio disponível para os projetistas combaterem a entropia é a redundância, que é obtida (a) introduzindo mais confiabilidade nos componentes e (b) fornecendo mais segurança em toda a arquitetura do circuito. Somente aumentando suficientemente a probabilidade de que a função necessária seja executada pelo período de tempo necessário, os projetistas podem, em algum grau, defender-se contra a entropia.
Avaliação de Risco
Quanto maior o risco potencial, maior a confiabilidade e/ou segurança (contra falhas) exigida (e vice-versa). Isso é ilustrado pelos dois casos a seguir:
Caso 1
O acesso à ferramenta de molde fixada em uma máquina de moldagem por injeção é protegido por uma porta. Se a porta estiver fechada, a máquina pode funcionar, e se a porta estiver aberta, todos os movimentos perigosos devem ser interrompidos. Em nenhuma circunstância (mesmo em caso de falha no canal de segurança) podem ocorrer quaisquer movimentos, especialmente aqueles que operam a ferramenta.
Caso 2
O acesso a uma linha de montagem controlada automaticamente que monta pequenos componentes de plástico sob pressão pneumática é protegido por uma porta. Se esta porta for aberta, a linha terá que ser parada.
No Caso 1, se o sistema de controle de supervisão da porta falhar, pode ocorrer uma lesão grave se a ferramenta for fechada inesperadamente. No Caso 2, apenas ferimentos leves ou danos insignificantes podem ocorrer se o sistema de controle de supervisão da porta falhar.
É óbvio que no primeiro caso deve ser introduzida muito mais redundância para atingir a confiabilidade e/ou segurança (contra falhas) necessária para proteger contra riscos extremamente altos. De fato, de acordo com a norma europeia EN 201, o sistema de controle de supervisão da porta da máquina de moldagem por injeção deve ter três canais; dois dos quais são elétricos e supervisionados mutuamente e um dos quais é equipado principalmente com circuitos hidráulicos e de teste. Todas essas três funções de supervisão estão relacionadas à mesma porta.
Por outro lado, em aplicações como a descrita no Caso 2, um único canal acionado por uma chave com ação positiva é adequado ao risco.
Categorias de controle
Como todas as considerações acima são geralmente baseadas na teoria da informação e, consequentemente, são válidas para todas as tecnologias, não importa se o sistema de controle é baseado em componentes eletrônicos, eletromecânicos, mecânicos, hidráulicos ou pneumáticos (ou uma mistura deles) , ou em alguma outra tecnologia. A inventividade do projetista, por um lado, e as questões econômicas, por outro, são os principais fatores que afetam um número quase infinito de soluções sobre como realizar canais relevantes para a segurança.
Para evitar confusão, é prático definir certos critérios de classificação. As estruturas de canal mais comuns usadas em controles de máquinas para executar funções relacionadas à segurança são categorizadas de acordo com:
Suas combinações (nem todas as combinações possíveis são mostradas) são ilustradas na tabela 1.
Tabela 1. Algumas combinações possíveis de estruturas de circuito em controles de máquinas para funções relacionadas à segurança
Critérios (perguntas) |
estratégia básica |
|||||
Ao aumentar a confiabilidade (a ocorrência de falha é deslocada para um futuro possivelmente distante?) |
Pela estrutura de circuito adequada (arquitetura), a falha será pelo menos detectada (Cat. 2) ou o efeito da falha no canal será eliminado (Cat. 3) ou a falha será divulgada imediatamente (Cat. 4) |
|||||
Categorias |
||||||
Esta solução está basicamente errada |
B |
1 |
2 |
3 |
4 |
|
Os componentes do circuito podem suportar as influências esperadas; eles são construídos de acordo com o estado da arte? |
Não |
Sim |
Sim |
Sim |
Sim |
Sim |
Componentes e/ou métodos bem testados foram usados? |
Não |
Não |
Sim |
Sim |
Sim |
Sim |
Uma falha pode ser detectada automaticamente? |
Não |
Não |
Não |
Sim |
Sim |
Sim |
Uma falha impede a execução da função relacionada à segurança? |
Sim |
Sim |
Sim |
Sim |
Não |
Não |
Quando a falha será detectada? |
Nunca |
Nunca |
Nunca |
Cedo (mais tarde no final do intervalo que não é maior que um ciclo da máquina) |
Imediatamente (quando o sinal perde dinâmica |
|
Em produtos de consumo |
Para ser usado em máquinas |
A categoria aplicável para uma máquina específica e seu sistema de controle relacionado à segurança é especificada principalmente nas novas normas europeias (EN), a menos que a autoridade nacional, o usuário e o fabricante concordem mutuamente que outra categoria deve ser aplicada. O projetista então desenvolve um sistema de controle que atende aos requisitos. Por exemplo, as considerações que regem o projeto de um canal de controle podem incluir o seguinte:
Este processo é reversível. Usando as mesmas perguntas, pode-se decidir a que categoria pertence um canal de controle existente e previamente desenvolvido.
Exemplos de categorias
Categoria B
Os componentes do canal de controle usados principalmente em produtos de consumo devem suportar as influências esperadas e ser projetados de acordo com o estado da arte. Um switch bem projetado pode servir como exemplo.
Categoria 1
O uso de componentes e métodos bem testados é típico da Categoria 1. Um exemplo da Categoria 1 é uma chave com ação positiva (isto é, requer abertura forçada dos contatos). Esta chave é projetada com peças robustas e é acionada por forças relativamente altas, alcançando altíssima confiabilidade apenas na abertura dos contatos. Apesar dos contatos grudados ou mesmo soldados, esses interruptores abrirão. (Observação: Componentes como transistores e diodos não são considerados componentes bem testados.) A Figura 10 servirá como uma ilustração de um controle de Categoria 1.
Figura 10. Uma chave com ação positiva
Este canal usa o switch S com ação positiva. O contator K é supervisionado pela luz L. O operador é avisado que os contatos normalmente abertos (NA) permanecem por meio da luz indicadora L. O contator K possui contatos guiados forçados. (Nota: Os relés ou contatores com orientação forçada dos contatos possuem, em comparação com os relés ou contatores usuais, uma gaiola especial feita de material isolante de modo que, se os contatos normalmente fechados (NC) estiverem fechados, todos os contatos NA devem ser abertos e vice-versa versa. Isso significa que, pelo uso de contatos NC, pode ser feita uma verificação para determinar se os contatos de trabalho não estão grudados ou soldados.)
Categoria 2
A categoria 2 prevê a detecção automática de falhas. A detecção automática de falha deve ser gerada antes de cada movimento perigoso. Somente se o teste for positivo o movimento pode ser realizado; caso contrário, a máquina será parada. Sistemas automáticos de detecção de falhas são usados para barreiras de luz para provar que elas ainda estão funcionando. O princípio é ilustrado na figura 1.
Figura 11. Circuito incluindo um detector de falha
Este sistema de controle é testado regularmente (ou ocasionalmente) injetando um impulso na entrada. Em um sistema funcionando corretamente, esse impulso será então transferido para a saída e comparado a um impulso de um gerador de teste. Quando ambos os impulsos estão presentes, o sistema obviamente funciona. Caso contrário, se não houver impulso de saída, o sistema falhou.
Categoria 3
O circuito foi descrito anteriormente no Exemplo 3 na seção Segurança deste artigo, figura 8.
O requisito - isto é, detecção automática de falha e a capacidade de executar a função de segurança mesmo que uma falha tenha ocorrido em qualquer lugar - pode ser atendido por estruturas de controle de dois canais e pela supervisão mútua dos dois canais.
Somente para controles de máquinas, as falhas perigosas devem ser investigadas. Deve-se notar que existem dois tipos de falha:
Categoria 4
A categoria 4 normalmente fornece a aplicação de um sinal dinâmico e em constante mudança na entrada. A presença de um sinal dinâmico na saída significa corrida (“1”), e a ausência de um sinal dinâmico significa Pare (“0”).
Para tais circuitos, é típico que, após a falha de qualquer componente, o sinal dinâmico não esteja mais disponível na saída. (Observação: o potencial estático na saída é irrelevante.) Esses circuitos podem ser chamados de “à prova de falhas”. Todas as falhas serão divulgadas imediatamente, não após a primeira alteração (como nos circuitos de categoria 3).
Comentários adicionais sobre categorias de controle
A Tabela 1 foi desenvolvida para controles usuais de máquinas e mostra apenas as estruturas básicas do circuito; de acordo com a diretiva da máquina, deve ser calculado assumindo que apenas uma falha ocorrerá em um ciclo da máquina. É por isso que a função de segurança não precisa ser executada no caso de duas falhas coincidentes. Presume-se que uma falha será detectada dentro de um ciclo da máquina. A máquina será parada e depois reparada. O sistema de controle então inicia novamente, totalmente operável, sem falhas.
A primeira intenção do projetista deve ser não permitir falhas “permanentes”, que não seriam detectadas durante um ciclo, pois poderiam ser combinadas posteriormente com falha(s) recente(s) (acumulação de falha). Tais combinações (uma falha permanente e uma nova falha) podem causar um mau funcionamento até mesmo de circuitos de categoria 3.
Apesar dessas táticas, é possível que duas falhas independentes ocorram ao mesmo tempo dentro do mesmo ciclo da máquina. É muito improvável, especialmente se componentes altamente confiáveis forem usados. Para aplicações de risco muito alto, três ou mais subcanais devem ser usados. Essa filosofia se baseia no fato de que o tempo médio entre falhas é muito maior que o ciclo da máquina.
Isso não significa, no entanto, que a tabela não possa ser expandida. A Tabela 1 é basicamente e estruturalmente muito semelhante à Tabela 2 usada na EN 954-1. No entanto, ele não tenta incluir muitos critérios de classificação. Os requisitos são definidos de acordo com as rigorosas leis da lógica, de modo que apenas respostas claras (SIM ou NÃO) podem ser esperadas. Isso permite uma avaliação, triagem e classificação mais exatas dos circuitos enviados (canais relacionados à segurança) e, por último, mas não menos importante, melhora significativa da reprodutibilidade da avaliação.
Seria ideal se os riscos pudessem ser classificados em vários níveis de risco e, então, um vínculo definitivo estabelecido entre níveis e categorias de risco, tudo isso independente da tecnologia em uso. No entanto, isso não é totalmente possível. Logo após a criação das categorias, ficou claro que, mesmo com a mesma tecnologia, várias questões não eram suficientemente respondidas. O que é melhor: um componente muito confiável e bem projetado da categoria 1 ou um sistema que atende aos requisitos da categoria 3 com baixa confiabilidade?
Para explicar esse dilema é preciso diferenciar duas qualidades: confiabilidade e segurança (contra falhas). Eles não são comparáveis, pois ambas as qualidades têm características diferentes:
Considerando o exposto, pode ser que a melhor solução (do ponto de vista de alto risco) seja usar componentes altamente confiáveis e configurá-los para que o circuito seja seguro contra pelo menos uma falha (de preferência mais). É claro que tal solução não é a mais econômica. Na prática, o processo de otimização é principalmente consequência de todas essas influências e considerações.
A experiência com o uso prático das categorias mostra que raramente é possível projetar um sistema de controle que possa utilizar apenas uma categoria. A combinação de duas ou até três partes, cada uma de uma categoria diferente, é típica, conforme ilustrado no exemplo a seguir:
Muitas barreiras de luz de segurança são projetadas na categoria 4, em que um canal funciona com um sinal dinâmico. No final deste sistema geralmente existem dois subcanais mutuamente supervisionados que trabalham com sinais estáticos. (Isto preenche os requisitos para a Categoria 3.)
De acordo com EN 50100, tais barreiras de luz são classificadas como Dispositivos de proteção eletrossensíveis tipo 4, embora sejam compostos por duas partes. Infelizmente, não há acordo sobre como denominar os sistemas de controle que consistem em duas ou mais partes, cada parte de outra categoria.
Sistemas Eletrônicos Programáveis (PESs)
Os princípios usados para criar a tabela 1 podem, com certas restrições, é claro, ser geralmente aplicados aos PESs também.
Sistema somente PES
Ao usar PESs para controle, a informação é transferida do sensor para o ativador através de um grande número de componentes. Além disso, ele ainda passa “através” do software. (Ver figura 12).
Figura 12. Um circuito de sistema PES
Embora os PESs modernos sejam muito confiáveis, a confiabilidade não é tão alta quanto pode ser necessária para o processamento de funções de segurança. Além disso, os sistemas PES usuais não são seguros o suficiente, pois não realizarão a função relacionada à segurança em caso de falha. Portanto, o uso de PESs para processamento de funções de segurança sem quaisquer medidas adicionais não é permitido.
Aplicações de risco muito baixo: Sistemas com um PES e medidas adicionais
Ao usar um único PES para controle, o sistema consiste nas seguintes partes principais:
Parte de entrada
A confiabilidade de um sensor e entrada de um PES pode ser melhorada dobrando-os. Essa configuração de entrada de sistema duplo pode ser supervisionada por software para verificar se ambos os subsistemas estão fornecendo as mesmas informações. Assim, as falhas na parte de entrada podem ser detectadas. Esta é quase a mesma filosofia exigida para a Categoria 3. No entanto, como a supervisão é feita por software e apenas uma vez, isso pode ser denominado como 3- (ou não tão confiável quanto 3).
Parte do meio
Embora esta parte não possa ser bem dobrada, ela pode ser testada. Ao ligar (ou durante a operação), uma verificação de todo o conjunto de instruções pode ser executada. Nos mesmos intervalos, a memória também pode ser verificada por padrões de bits adequados. Se essas verificações forem realizadas sem falhas, ambas as partes, CPU e memória, obviamente estão funcionando corretamente. A parte do meio tem algumas características típicas da categoria 4 (sinal dinâmico) e outras típicas da categoria 2 (testes realizados regularmente em intervalos adequados). O problema é que esses testes, apesar de sua extensão, não podem ser realmente completos, pois o sistema de um PES inerentemente não os permite.
Parte de saída
Semelhante a uma entrada, a saída (incluindo ativadores) também pode ser duplicada. Ambos os subsistemas podem ser supervisionados em relação ao mesmo resultado. Falhas serão detectadas e a função de segurança será executada. No entanto, existem os mesmos pontos fracos da parte de entrada. Consequentemente, a Categoria 3 é escolhida neste caso.
Na figura 13 a mesma função é trazida para os relés A e a B. Os contatos de controle a e a b, então informa a dois sistemas de entrada se ambos os relés estão fazendo o mesmo trabalho (a menos que tenha ocorrido uma falha em um dos canais). A supervisão é feita novamente por software.
Figura 13. Circuito PES com sistema de detecção de falhas
Todo o sistema pode ser descrito como Categoria 3-/4/2/3- se feito de forma adequada e extensiva. No entanto, os pontos fracos de tais sistemas descritos acima não podem ser totalmente eliminados. Na verdade, PESs melhorados são realmente usados para funções relacionadas à segurança apenas onde os riscos são bastante baixos (Hölscher e Rader 1984).
Aplicativos de baixo e médio risco com um PES
Hoje quase todas as máquinas estão equipadas com uma unidade de controle PES. Para resolver o problema de confiabilidade insuficiente e segurança geralmente insuficiente contra falhas, os seguintes métodos de projeto são comumente usados:
Figura 14. Estado da arte para categoria de parada 0
Figura 15. Estado da arte para categoria de parada 1
Figura 16. Estado da arte para categoria de parada 2
Aplicações de alto risco: sistemas com dois (ou mais) PESs
Além da complexidade e das despesas, não há outros fatores que impeçam os projetistas de usar sistemas PES totalmente duplicados, como Siemens Simatic S5-115F, 3B6 Typ CAR-MIL e assim por diante. Estes normalmente incluem dois PESs idênticos com software homogêneo e assumem o uso de PESs “bem testados” e compiladores “bem testados” (um PES ou compilador bem testado pode ser considerado aquele que em muitas aplicações práticas ao longo de 3 ou mais anos mostrou que as falhas sistemáticas foram obviamente eliminadas). Embora esses sistemas PES duplos não tenham os pontos fracos dos sistemas PES simples, isso não significa que os sistemas PES duplos resolvam todos os problemas. (Ver figura 17).
Figura 17. Sistema sofisticado com dois PESs
Falhas Sistemáticas
Falhas sistemáticas podem resultar de erros nas especificações, design e outras causas, e podem estar presentes tanto no hardware quanto no software. Os sistemas PES duplos são adequados para uso em aplicações relacionadas à segurança. Tais configurações permitem a detecção de falhas aleatórias de hardware. Por meio da diversidade de hardware, como o uso de dois tipos diferentes ou produtos de dois fabricantes diferentes, falhas sistemáticas de hardware podem ser divulgadas (é altamente improvável que uma falha sistemática de hardware idêntica ocorra em ambos os PES).
Software
O software é um novo elemento nas considerações de segurança. O software está correto ou incorreto (com relação a falhas). Uma vez correto, o software não pode se tornar instantaneamente incorreto (em comparação com o hardware). Os objetivos são erradicar todos os erros no software ou pelo menos identificá-los.
Existem várias maneiras de atingir esse objetivo. Um é o verificação do programa (uma segunda pessoa tenta descobrir os erros em um teste subsequente). Outra possibilidade é diversidade do software, em que dois programas diferentes, escritos por dois programadores, abordam o mesmo problema. Se os resultados forem idênticos (dentro de certos limites), pode-se presumir que ambas as seções do programa estão corretas. Se os resultados forem diferentes, presume-se que existam erros. (NB, O arquitetura do hardware naturalmente também deve ser considerado.)
Sumário
Ao usar PESs, geralmente as mesmas considerações básicas a seguir devem ser levadas em conta (conforme descrito nas seções anteriores).
Uma novidade é que para o sistema com PES, até o software deve ser avaliado do ponto de vista da correção. O software, se correto, é 100% confiável. Nesta fase do desenvolvimento tecnológico, provavelmente não serão utilizadas as melhores soluções técnicas possíveis e conhecidas, pois os fatores limitantes ainda são econômicos. Além disso, vários grupos de especialistas continuam a desenvolver os padrões para aplicações de segurança de PESs (por exemplo, EC, EWICS). Embora existam várias normas já disponíveis (VDE0801, IEC65A e outras), este assunto é tão amplo e complexo que nenhuma delas pode ser considerada definitiva.
Sempre que equipamentos de produção simples e convencionais, como máquinas-ferramentas, são automatizados, o resultado são sistemas técnicos complexos, bem como novos perigos. Essa automação é obtida através do uso de sistemas de controle numérico computadorizado (CNC) em máquinas-ferramentas, chamados Máquinas-ferramentas CNC (por exemplo, fresadoras, centros de usinagem, brocas e retíficas). Para poder identificar os perigos potenciais inerentes às ferramentas automáticas, devem ser analisados os vários modos de funcionamento de cada sistema. Análises realizadas anteriormente indicam que deve ser feita uma diferenciação entre dois tipos de operação: operação normal e operação especial.
Muitas vezes é impossível prescrever os requisitos de segurança para máquinas-ferramenta CNC na forma de medidas específicas. Isso pode ocorrer porque existem poucos regulamentos e padrões específicos para os equipamentos que fornecem soluções concretas. Os requisitos de segurança podem ser determinados apenas se os possíveis perigos forem identificados sistematicamente através da realização de uma análise de perigo, especialmente se esses complexos sistemas técnicos estiverem equipados com sistemas de controle livremente programáveis (como em máquinas-ferramenta CNC).
No caso de máquinas-ferramenta CNC recém-desenvolvidas, o fabricante é obrigado a realizar uma análise de risco do equipamento para identificar quaisquer perigos que possam estar presentes e mostrar por meio de soluções construtivas que todos os perigos para as pessoas, em todos os diferentes modos de operação, são eliminados. Todos os perigos identificados devem ser submetidos a uma avaliação de risco em que cada risco de um evento depende do alcance do dano e da frequência com que pode ocorrer. O perigo a ser avaliado também recebe uma categoria de risco (minimizado, normal, aumentado). Sempre que o risco não puder ser aceito com base na avaliação de risco, soluções (medidas de segurança) devem ser encontradas. O objetivo dessas soluções é reduzir a frequência de ocorrência e o escopo dos danos de um incidente não planejado e potencialmente perigoso (um “evento”).
As abordagens para soluções para riscos normais e aumentados encontram-se na tecnologia de segurança indireta e direta; para riscos minimizados, eles podem ser encontrados em tecnologia de segurança de referência:
Requisitos Internacionais de Segurança
A diretiva de máquinas da CE (89/392/EEC) de 1989 estabelece os principais requisitos de segurança e saúde para máquinas. (De acordo com a Diretiva de Máquinas, uma máquina é considerada a soma total de peças ou dispositivos interligados, dos quais pelo menos um pode se mover e correspondentemente tem uma função.) Além disso, padrões individuais são criados por organismos internacionais de padronização para ilustrar possíveis soluções (por exemplo, atendendo a aspectos fundamentais de segurança ou examinando equipamentos elétricos instalados em máquinas industriais). O objetivo dessas normas é especificar os objetivos de proteção. Esses requisitos internacionais de segurança fornecem aos fabricantes a base legal necessária para especificar esses requisitos nas análises de perigo e avaliações de risco mencionadas acima.
Modos de operação
Ao usar máquinas-ferramentas, é feita uma diferenciação entre operação normal e operação especial. Estatísticas e investigações indicam que a maioria dos incidentes e acidentes não ocorre em operação normal (ou seja, durante o cumprimento automático da missão em questão). Com esses tipos de máquinas e instalações, há ênfase em modos especiais de operação, como comissionamento, configuração, programação, testes, verificações, solução de problemas ou manutenção. Nesses modos de operação, as pessoas geralmente estão em uma zona de perigo. O conceito de segurança deve proteger o pessoal de eventos prejudiciais nestes tipos de situações.
Operação normal
O seguinte se aplica a máquinas automáticas durante a operação normal: (1) a máquina cumpre a tarefa para a qual foi projetada e construída sem qualquer intervenção adicional do operador e (2) aplicada a uma máquina de torneamento simples, isso significa que um peça de trabalho é virada para a forma correta e cavacos são produzidos. Se a peça de trabalho for trocada manualmente, a troca da peça de trabalho é um modo especial de operação.
Modos especiais de operação
Modos especiais de operação são processos de trabalho que permitem a operação normal. Sob este título, por exemplo, incluiríamos trocas de peças ou ferramentas, retificação de uma falha em um processo de produção, retificação de uma falha de máquina, configuração, programação, testes, limpeza e manutenção. Em operação normal, os sistemas automáticos cumprem suas atribuições de forma independente. Do ponto de vista da segurança do trabalho, no entanto, a operação normal automática torna-se crítica quando o operador precisa intervir nos processos de trabalho. Sob nenhuma circunstância as pessoas que intervêm em tais processos podem ser expostas a perigos.
Pessoal
Deve-se levar em consideração as pessoas que trabalham nos vários modos de operação, bem como terceiros, ao proteger máquinas-ferramentas. Os terceiros também incluem aqueles indiretamente envolvidos com a máquina, como supervisores, inspetores, auxiliares de transporte de material e desmontagem, visitantes e outros.
Exigências e Medidas de Segurança para Acessórios de Máquinas
Intervenções para trabalhos em modos de operação especiais significam que acessórios especiais devem ser usados para garantir que o trabalho possa ser conduzido com segurança. o primeiro tipo de acessórios incluem equipamentos e itens utilizados para intervir no processo automático sem que o operador tenha que acessar uma zona perigosa. Este tipo de acessório inclui (1) ganchos para cavacos e pinças que foram projetados para que os cavacos na área de usinagem possam ser removidos ou puxados através das aberturas fornecidas nas proteções de segurança e (2) dispositivos de fixação da peça com os quais o material de produção pode ser inserido manualmente ou removido de um ciclo automático
Vários modos especiais de operação - por exemplo, trabalho de reparação ou trabalho de manutenção - tornam necessária a intervenção de pessoal em um sistema. Também nestes casos existe toda uma gama de acessórios de máquinas concebidos para aumentar a segurança de trabalho - por exemplo, dispositivos para manusear rebolos pesados quando estes são substituídos em rebarbadoras, bem como lingas de grua especiais para desmontar ou erguer componentes pesados quando máquinas são revisadas. Esses dispositivos são os segundo tipo de acessório da máquina para aumentar a segurança durante o trabalho em operações especiais. Os sistemas de controle de operação especial também podem ser considerados como representando um segundo tipo de acessório da máquina. Atividades específicas podem ser realizadas com segurança com esses acessórios - por exemplo, um dispositivo pode ser configurado nos eixos da máquina quando movimentos de avanço são necessários com as proteções de segurança abertas.
Esses sistemas especiais de controle de operação devem atender a requisitos de segurança específicos. Por exemplo, eles devem garantir que apenas o movimento solicitado seja realizado da maneira solicitada e apenas pelo tempo solicitado. O sistema de controle de operação especial deve, portanto, ser projetado de forma a evitar que qualquer ação defeituosa se transforme em movimentos ou estados perigosos.
Os equipamentos que aumentam o grau de automatização de uma instalação podem ser considerados terceiro tipo de acessório da máquina para aumentar a segurança no trabalho. Ações que anteriormente eram executadas manualmente são feitas automaticamente pela máquina em operação normal, como equipamentos incluindo carregadores de portal, que mudam as peças de trabalho em máquinas-ferramentas automaticamente. A salvaguarda do funcionamento normal automático causa poucos problemas porque a intervenção de um operador no decorrer dos eventos é desnecessária e porque possíveis intervenções podem ser evitadas por dispositivos de segurança.
Requisitos e Medidas de Segurança para a Automação de Máquinas-Ferramenta
Infelizmente, a automação não levou à eliminação de acidentes nas fábricas de produção. As investigações simplesmente mostram uma mudança na ocorrência de acidentes de operação normal para especial, principalmente devido à automação da operação normal, de modo que as intervenções no curso da produção não sejam mais necessárias e, portanto, o pessoal não esteja mais exposto a perigos. Por outro lado, máquinas altamente automáticas são sistemas complexos e difíceis de avaliar quando ocorrem falhas. Mesmo os especialistas contratados para corrigir falhas nem sempre conseguem fazê-lo sem incorrer em acidentes. A quantidade de software necessária para operar máquinas cada vez mais complexas está crescendo em volume e complexidade, resultando em um número cada vez maior de engenheiros elétricos e de comissionamento sofrendo acidentes. Não existe software perfeito, e mudanças no software muitas vezes levam a mudanças em outros lugares que não eram esperadas nem desejadas. Para evitar que a segurança seja afetada, o comportamento defeituoso perigoso causado por influência externa e falhas de componentes não deve ser possível. Esta condição só pode ser cumprida se o circuito de segurança for projetado da forma mais simples possível e separado do restante dos controles. Os elementos ou subconjuntos utilizados no circuito de segurança também devem ser à prova de falhas.
É tarefa do projetista desenvolver projetos que satisfaçam os requisitos de segurança. O projetista não pode deixar de considerar com muito cuidado os procedimentos de trabalho necessários, incluindo os modos especiais de operação. Análises devem ser feitas para determinar quais procedimentos de trabalho seguro são necessários e o pessoal operacional deve se familiarizar com eles. Na maioria dos casos, será necessário um sistema de controle para operação especial. O sistema de controle geralmente observa ou regula um movimento, enquanto, ao mesmo tempo, nenhum outro movimento deve ser iniciado (já que nenhum outro movimento é necessário para este trabalho e, portanto, nenhum é esperado pelo operador). O sistema de controle não precisa necessariamente realizar as mesmas atribuições nos vários modos de operação especial.
Requisitos e Medidas de Segurança nos Modos de Operação Normal e Especial
Operação normal
A especificação de metas de segurança não deve impedir o progresso técnico porque soluções adaptadas podem ser selecionadas. O uso de máquinas-ferramenta CNC exige o máximo de análise de perigos, avaliação de riscos e conceitos de segurança. A seguir, descrevemos vários objetivos de segurança e possíveis soluções em mais detalhes.
meta de segurança
Soluções possíveis
meta de segurança
Solução possível
Operação especial
As interfaces entre operação normal e operação especial (por exemplo, dispositivos de intertravamento de portas, barreiras de luz, tapetes de segurança) são necessárias para permitir que o sistema de controle de segurança reconheça automaticamente a presença de pessoal. A seguir são descritos certos modos de operação especiais (por exemplo, configuração, programação) em máquinas-ferramenta CNC que requerem movimentos que devem ser avaliados diretamente no local de operação.
Metas de segurança
Solução possível
Exigências sobre Sistemas de Controle de Segurança
Uma das características de um sistema de controle de segurança deve ser a garantia de funcionamento da função de segurança sempre que surgirem falhas, de modo a direcionar os processos de um estado perigoso para um estado seguro.
Metas de segurança
Soluções possíveis
Conclusão
É evidente que a tendência crescente de acidentes nos modos de operação normal e especial não pode ser interrompida sem um conceito de segurança claro e inequívoco. Este fato deve ser levado em consideração na elaboração de normas e diretrizes de segurança. Novas diretrizes na forma de metas de segurança são necessárias para permitir soluções avançadas. Este objetivo permite que os projetistas escolham a solução ideal para um caso específico e, ao mesmo tempo, demonstrem os recursos de segurança de suas máquinas de maneira bastante simples, descrevendo uma solução para cada objetivo de segurança. Essa solução pode então ser comparada com outras soluções existentes e aceitas e, se for melhor ou pelo menos de igual valor, uma nova solução pode ser escolhida. Desta forma, o progresso não é prejudicado por regulamentos formulados de forma restrita.
Principais Características da Diretiva de Máquinas da EEC
A Diretiva do Conselho de 14 de junho de 1989 sobre a aproximação das legislações dos Estados Membros relativas a máquinas (89/392/EEC) aplica-se a cada estado individualmente.
Metas de segurança para a construção e uso de máquinas-ferramenta CNC
1. Tornos
1.1 Modo normal de operação
1.1.1 A área de trabalho deve ser protegida de forma que seja impossível alcançar ou entrar nas zonas de perigo de movimentos automáticos, intencionalmente ou não.
1.1.2 O depósito de ferramentas deve ser protegido de forma que seja impossível alcançar ou entrar nas zonas de perigo de movimentos automáticos, intencionalmente ou não.
1.1.3 O depósito de peças de trabalho deve ser protegido de forma que seja impossível alcançar ou entrar nas zonas de perigo de movimentos automáticos, intencionalmente ou não.
1.1.4 A remoção de cavacos não deve resultar em ferimentos pessoais devido aos cavacos ou partes móveis da máquina.
1.1.5 Devem ser evitadas lesões corporais resultantes do acesso aos sistemas de acionamento.
1.1.6 A possibilidade de alcançar as zonas de perigo dos transportadores de cavacos em movimento deve ser evitada.
1.1.7 Nenhum dano pessoal aos operadores ou terceiros deve resultar de peças de trabalho lançadas ou partes delas.
Por exemplo, isso pode ocorrer
1.1.8 Nenhuma lesão pessoal deve resultar de acessórios de fixação de peças de trabalho voando.
1.1.9 Nenhuma lesão pessoal deve resultar de fichas lançadas.
1.1.10 Nenhuma lesão pessoal deve resultar de ferramentas voadoras ou partes delas.
Por exemplo, isso pode ocorrer
1.2 Modos especiais de operação
1.2.1 Troca da peça de trabalho.
1.2.1.1 A fixação da peça de trabalho deve ser feita de forma que nenhuma parte do corpo fique presa entre os dispositivos de fixação de fechamento e a peça de trabalho ou entre a ponta da luva de avanço e a peça de trabalho.
1.2.1.2 A partida de um acionamento (fusos, eixos, mangas, cabeçotes de revólver ou transportadores de cavacos) como consequência de um comando defeituoso ou comando inválido deve ser evitada.
1.2.1.3 Deve ser possível manipular a peça manualmente ou com ferramentas sem perigo.
1.2.2 Troca de ferramenta no porta-ferramentas ou no cabeçote do revólver.
1.2.2.1 O perigo resultante do comportamento defeituoso do sistema ou devido à entrada de um comando inválido deve ser evitado.
1.2.3 Troca de ferramentas no magazine de ferramentas.
1.2.3.1 Movimentos no magazine de ferramentas resultantes de um comando defeituoso ou inválido devem ser evitados durante a troca de ferramenta.
1.2.3.2 Não deve ser possível alcançar outras partes móveis da máquina a partir da estação de carregamento de ferramentas.
1.2.3.3 Não deve ser possível alcançar as zonas de perigo durante o movimento do magazine de ferramentas ou durante a busca. Se ocorrer com as proteções para o modo de operação normal removidas, esses movimentos só podem ser do tipo designado e somente ser executados durante o período de tempo solicitado e somente quando puder ser assegurado que nenhuma parte do corpo esteja nessas zonas de perigo .
1.2.4 Verificação de medição.
1.2.4.1 O acesso à área de trabalho só deve ser possível após a paralisação de todos os movimentos.
1.2.4.2 A partida de um drive resultante de um comando defeituoso ou entrada de comando inválido deve ser evitada.
1.2.5 Configuração.
1.2.5.1 Se os movimentos forem executados durante a configuração com as proteções para o modo normal de operação removidos, o operador deve ser protegido por outro meio.
1.2.5.2 Nenhum movimento perigoso ou mudança de movimento deve ser iniciado como resultado de um comando defeituoso ou entrada de comando inválido.
1.2.6 Programação.
1.2.6.1 Nenhum movimento pode ser iniciado durante a programação que coloque em risco uma pessoa na área de trabalho.
1.2.7 Falha de produção.
1.2.7.1 A partida de um drive resultante de um comando defeituoso em setpoint de entrada de comando inválido deve ser evitada.
1.2.7.2 Nenhum movimento ou situação perigosa deve ser iniciado pelo movimento ou remoção da peça de trabalho ou resíduos.
1.2.7.3 Quando os movimentos tiverem que ocorrer com as proteções para o modo normal de operação removidos, esses movimentos só podem ser do tipo designado e executados apenas pelo período de tempo ordenado e somente quando puder ser assegurado que nenhuma parte do corpo estão nessas zonas de perigo.
1.2.8 Resolução de problemas.
1.2.8.1 O acesso às zonas de perigo dos movimentos automáticos deve ser evitado.
1.2.8.2 A partida de um acionamento como resultado de um comando defeituoso ou entrada de comando inválido deve ser evitada.
1.2.8.3 Um movimento da máquina na manipulação da peça defeituosa deve ser evitado.
1.2.8.4 Devem ser evitadas lesões corporais resultantes da quebra ou queda de uma peça da máquina.
1.2.8.5 Se, durante a resolução de problemas, os movimentos tiverem que ocorrer com as proteções para o modo normal de operação removidos, esses movimentos só poderão ser do tipo designado e executados apenas pelo período de tempo solicitado e somente quando puder ser assegurado que nenhuma parte do corpo está nessas zonas de perigo.
1.2.9 Mau funcionamento e reparo da máquina.
1.2.9.1 A partida da máquina deve ser impedida.
1.2.9.2 A manipulação das diferentes partes da máquina deve ser possível manualmente ou com ferramentas sem qualquer perigo.
1.2.9.3 Não deve ser possível tocar nas partes energizadas da máquina.
1.2.9.4 Danos pessoais não devem resultar da emissão de meios fluidos ou gasosos.
2. Fresadoras
2.1 Modo normal de operação
2.1.1 A área de trabalho deve ser protegida de forma que seja impossível alcançar ou entrar nas zonas de perigo de movimentos automáticos, intencionalmente ou não.
2.1.2 A remoção de cavacos não deve resultar em ferimentos pessoais devido aos cavacos ou partes móveis da máquina.
2.1.3 Devem ser evitadas lesões corporais resultantes do acesso aos sistemas de acionamento.
Nenhum dano pessoal aos operadores ou terceiros deve resultar de peças de trabalho lançadas ou partes delas.
Por exemplo, isso pode ocorrer
2.1.4 Nenhuma lesão pessoal deve resultar de dispositivos de fixação de peças de trabalho voando.
2.1.5 Nenhuma lesão pessoal deve resultar de fichas lançadas.
2.1.6 Nenhuma lesão pessoal deve resultar de ferramentas voadoras ou partes delas.
Por exemplo, isso pode ocorrer
Modos especiais de operação
2.2.1 Troca da peça de trabalho.
2.2.1.1 Quando forem usados dispositivos de fixação acionados por força, não deve ser possível que partes do corpo fiquem presas entre as partes de fechamento do dispositivo de fixação e a peça de trabalho.
2.2.1.2 A partida de um acionamento (fuso, eixo) resultante de um comando defeituoso ou entrada de comando inválido deve ser evitada.
2.2.1.3 A manipulação da peça de trabalho deve ser possível manualmente ou com ferramentas sem qualquer perigo.
2.2.2 Troca de ferramentas.
2.2.2.1 A partida de um drive resultante de um comando defeituoso ou entrada de comando inválido deve ser evitada.
2.2.2.2 Não deve ser possível que os dedos fiquem presos ao colocar as ferramentas.
2.2.3 Verificação de medição.
2.2.3.1 O acesso à área de trabalho só deve ser possível após a paralisação de todos os movimentos.
2.2.3.2 A partida de um drive resultante de um comando defeituoso ou entrada de comando inválido deve ser evitada.
2.2.4 Configuração.
2.2.4.1 Se os movimentos forem executados durante a configuração com as proteções para o modo normal de operação removidas, o operador deve ser protegido por outro meio.
2.2.4.2 Nenhum movimento perigoso ou mudança de movimento deve ser iniciado como resultado de um comando defeituoso ou entrada de comando inválido.
2.2.5 Programação.
2.2.5.1 Nenhum movimento deve ser iniciado durante a programação que ponha em risco uma pessoa na área de trabalho.
2.2.6 Falha de produção.
2.2.6.1 A partida do acionamento resultante de um comando defeituoso ou entrada de comando inválido deve ser evitada.
2.2.6.2 Nenhum movimento ou situação perigosa deve ser iniciado pela movimentação ou remoção da peça ou resíduo.
2.2.6.3 Quando os movimentos tiverem que ocorrer com as proteções para o modo normal de operação removidos, esses movimentos só podem ser do tipo designado e executados apenas pelo período de tempo ordenado e somente quando puder ser assegurado que nenhuma parte do corpo estão nessas zonas de perigo.
2.2.7 Resolução de problemas.
2.2.7.1 O acesso às zonas de perigo dos movimentos automáticos deve ser evitado.
2.2.7.2 A partida de um acionamento como resultado de um comando defeituoso ou entrada de comando inválido deve ser evitada.
2.2.7.3 Qualquer movimento da máquina durante a manipulação da peça defeituosa deve ser evitado.
2.2.7.4 Devem ser evitadas lesões corporais resultantes da quebra ou queda de uma peça da máquina.
2.2.7.5 Se, durante a resolução de problemas, os movimentos tiverem que ocorrer com as proteções para o modo normal de operação removidos, esses movimentos só poderão ser do tipo designado e executados apenas pelo período de tempo solicitado e somente quando puder ser assegurado que nenhuma parte do corpo está nessas zonas de perigo.
2.2.8 Mau funcionamento e reparo da máquina.
2.2.8.1 A partida da máquina deve ser evitada.
2.2.8.2 A manipulação das diferentes partes da máquina deve ser possível manualmente ou com ferramentas sem nenhum perigo.
2.2.8.3 Não deve ser possível tocar nas partes energizadas da máquina.
2.2.8.4 Danos pessoais não devem resultar da emissão de meios fluidos ou gasosos.
3. Centros de usinagem
3.1 Modo normal de operação
3.1.1 A área de trabalho deve ser protegida de forma que seja impossível alcançar ou entrar nas zonas de perigo de movimentos automáticos, intencionalmente ou não.
3.1.2 O depósito de ferramentas deve ser protegido de forma que seja impossível alcançar ou entrar nas zonas de perigo de movimentos automáticos.
3.1.3 O depósito de peças deve ser protegido de forma que seja impossível alcançar ou entrar nas zonas de perigo de movimentos automáticos.
3.1.4 A remoção de cavacos não deve resultar em ferimentos pessoais devido aos cavacos ou partes móveis da máquina.
3.1.5 Devem ser evitadas lesões corporais resultantes do acesso aos sistemas de acionamento.
3.1.6 Deve ser evitada a possibilidade de atingir zonas de perigo de transportadores de cavacos em movimento (transportadores helicoidais, etc.).
3.1.7 Nenhum dano pessoal aos operadores ou terceiros deve resultar de peças de trabalho lançadas ou partes delas.
Por exemplo, isso pode ocorrer
3.1.8 Nenhuma lesão pessoal deve resultar de dispositivos de fixação de peças de trabalho voando.
3.1.9 Nenhuma lesão pessoal deve resultar de fichas lançadas.
3.1.10 Nenhuma lesão pessoal deve resultar de ferramentas voadoras ou partes delas.
Por exemplo, isso pode ocorrer
3.2 Modos especiais de operação
3.2.1 Troca da peça de trabalho.
3.2.1.1 Quando forem usados dispositivos de fixação acionados por força, não deve ser possível que partes do corpo fiquem presas entre as partes de fechamento do dispositivo de fixação e a peça de trabalho.
3.2.1.2 A partida de um drive resultante de um comando defeituoso ou entrada de comando inválido deve ser evitada.
3.2.1.3 Deve ser possível manipular a peça manualmente ou com ferramentas sem nenhum perigo.
3.2.1.4 Quando as peças são trocadas em uma estação de fixação, não deve ser possível a partir deste local alcançar ou entrar nas sequências de movimento automático da máquina ou do magazine de peças. Nenhum movimento deve ser iniciado pelo controle enquanto uma pessoa estiver presente na zona de fixação. A inserção automática da peça de trabalho fixada na máquina ou no magazine de peças de trabalho só deve ocorrer quando a estação de fixação também estiver protegida com um sistema de proteção correspondente ao modo de operação normal.
3.2.2 Troca de ferramenta no fuso.
3.2.2.1 A partida de um drive resultante de um comando defeituoso ou entrada de comando inválido deve ser evitada.
3.2.2.2 Não deve ser possível que os dedos fiquem presos ao colocar as ferramentas.
3.2.3 Troca de ferramentas no magazine de ferramentas.
3.2.3.1 Movimentos no magazine de ferramentas resultantes de comandos defeituosos ou entradas de comandos inválidos devem ser evitados durante a troca de ferramenta.
3.2.3.2 Não deve ser possível alcançar outras partes móveis da máquina a partir da estação de carregamento de ferramentas.
3.2.3.3 Não deve ser possível alcançar as zonas de perigo durante o movimento do magazine de ferramentas ou durante a busca. Se ocorrerem com as proteções para o modo normal de operação removidas, esses movimentos só podem ser do tipo designado e executados apenas pelo período de tempo ordenado e somente quando for possível garantir que nenhuma parte do corpo esteja nessas zonas de perigo .
3.2.4 Verificação de medição.
3.2.4.1 O acesso à área de trabalho só deve ser possível após a paralisação de todos os movimentos.
3.2.4.2 A partida de um drive resultante de um comando defeituoso ou entrada de comando inválido deve ser evitada.
3.2.5 Configuração.
3.2.5.1 Se os movimentos forem executados durante a configuração com as proteções para o modo normal de operação removidos, o operador deve ser protegido por outro meio.
3.2.5.2 Nenhum movimento perigoso ou mudança de movimento deve ser iniciado como resultado de um comando defeituoso ou entrada de comando inválido.
3.2.6 Programação.
3.2.6.1 Nenhum movimento deve ser iniciado durante a programação que ponha em risco uma pessoa na área de trabalho.
3.2.7 Falha de produção.
3.2.7.1 A partida de um drive resultante de um comando defeituoso ou entrada de comando inválido deve ser evitada.
3.2.7.2 Nenhum movimento ou situação perigosa deve ser iniciado pela movimentação ou remoção da peça ou resíduo.
3.2.7.3 Quando os movimentos tiverem que ocorrer com as proteções para o modo normal de operação removidos, esses movimentos só podem ser do tipo designado e executados apenas pelo período de tempo ordenado e somente quando puder ser assegurado que nenhuma parte do corpo estão nessas zonas de perigo.
3.2.8 Resolução de problemas.
3.2.8.1 O acesso às zonas de perigo dos movimentos automáticos deve ser evitado.
3.2.8.2 A partida de um acionamento como resultado de um comando defeituoso ou entrada de comando inválido deve ser evitada.
3.2.8.3 Qualquer movimento da máquina durante a manipulação da peça defeituosa deve ser evitado.
3.2.8.4 Devem ser evitadas lesões corporais resultantes da quebra ou queda de uma peça da máquina.
3.2.8.5 Se, durante a resolução de problemas, os movimentos tiverem que ocorrer com as proteções para o modo normal de operação removidos, esses movimentos só poderão ser do tipo designado e executados apenas pelo período de tempo solicitado e somente quando puder ser assegurado que nenhuma parte do corpo está nessas zonas de perigo.
3.2.9 Mau funcionamento e reparo da máquina.
3.2.9.1 A partida da máquina deve ser evitada.
3.2.9.2 A manipulação das diferentes partes da máquina deve ser possível manualmente ou com ferramentas sem nenhum perigo.
3.2.9.3 Não deve ser possível tocar nas partes energizadas da máquina.
3.2.9.4 Danos pessoais não devem resultar da emissão de meios fluidos ou gasosos.
4. Retificadoras
4.1 Modo normal de operação
4.1.1 A área de trabalho deve ser protegida de forma que seja impossível alcançar ou entrar nas zonas de perigo de movimentos automáticos, intencionalmente ou não.
4.1.2 Devem ser evitadas lesões corporais resultantes do acesso aos sistemas de acionamento.
4.1.3 Nenhum dano pessoal aos operadores ou terceiros deve resultar de peças de trabalho lançadas ou partes delas.
Por exemplo, isso pode ocorrer
4.1.4 Nenhuma lesão pessoal deve resultar de dispositivos de fixação de peças de trabalho voando.
4.1.5 Nenhuma lesão pessoal ou incêndio deve resultar de faíscas.
4.1.6 Nenhuma lesão pessoal deve resultar de peças voadoras de rebolos.
Por exemplo, isso pode ocorrer
Modos especiais de operação
4.2.1 Troca da peça de trabalho.
4.2.1.1 Quando forem usados dispositivos de fixação acionados por força, não deve ser possível que partes do corpo fiquem presas entre as partes de fechamento do dispositivo de fixação e a peça de trabalho.
4.2.1.2 A partida de um acionamento de alimentação resultante de um comando defeituoso ou entrada de comando inválido deve ser evitada.
4.2.1.3 Lesões pessoais causadas pelo rebolo em rotação devem ser evitadas ao manipular a peça de trabalho.
4.2.1.4 Lesões pessoais resultantes da explosão de um rebolo não devem ser possíveis.
4.2.1.5 A manipulação da peça de trabalho deve ser possível manualmente ou com ferramentas sem qualquer perigo.
4.2.2 Troca de ferramenta (troca do rebolo)
4.2.2.1 A partida de uma unidade de alimentação resultante de um comando defeituoso ou entrada de comando inválido deve ser evitada.
4.2.2.2 Lesões pessoais causadas pelo rebolo em rotação não devem ser possíveis durante os procedimentos de medição.
4.2.2.3 Lesões pessoais resultantes da explosão de um rebolo não devem ser possíveis.
4.2.3 Verificação de medição.
4.2.3.1 A partida de um acionamento de alimentação resultante de um comando defeituoso ou entrada de comando inválido deve ser evitada.
4.2.3.2 Lesões pessoais causadas pelo rebolo em rotação não devem ser possíveis durante os procedimentos de medição.
4.2.3.3 Lesões pessoais resultantes da explosão de um rebolo não devem ser possíveis.
4.2.4. Configurar.
4.2.4.1 Se os movimentos forem executados durante a configuração com as proteções para o modo normal de operação removidos, o operador deve ser protegido por outro meio.
4.2.4.2 Nenhum movimento perigoso ou mudança de movimento deve ser iniciado como resultado de um comando defeituoso ou entrada de comando inválido.
4.2.5 Programação.
4.2.5.1 Nenhum movimento deve ser iniciado durante a programação que ponha em risco uma pessoa na área de trabalho.
4.2.6 Falha de produção.
4.2.6.1 A partida de um acionamento de alimentação resultante de um comando defeituoso ou entrada de comando inválido deve ser evitada.
4.2.6.2 Nenhum movimento ou situação perigosa deve ser iniciado pela movimentação ou remoção da peça ou resíduo.
4.2.6.3 Quando os movimentos tiverem que ocorrer com as proteções para o modo normal de operação removidos, esses movimentos só podem ser do tipo designado e executados apenas pelo período de tempo ordenado e somente quando puder ser assegurado que nenhuma parte do corpo estão nessas zonas de perigo.
4.2.6.4 Lesões pessoais causadas pelo rebolo em rotação devem ser evitadas.
4.2.6.5 Lesões pessoais resultantes da explosão de um rebolo não devem ser possíveis.
4.2.7 Resolução de problemas.
4.2.7.1 O acesso às zonas de perigo dos movimentos automáticos deve ser evitado.
4.2.7.2 A partida de um acionamento como resultado de um comando defeituoso ou entrada de comando inválido deve ser evitada.
4.2.7.3 Qualquer movimento da máquina durante a manipulação da peça defeituosa deve ser evitado.
4.2.7.4 Devem ser evitadas lesões corporais resultantes da quebra ou queda de uma peça da máquina.
4.2.7.5 Lesões pessoais causadas pelo contato do operador ou pelo estouro do rebolo em rotação devem ser evitadas.
4.2.7.6 Se, durante a resolução de problemas, os movimentos tiverem que ocorrer com as proteções para o modo normal de operação removidos, esses movimentos só poderão ser do tipo designado e executados apenas pelo período de tempo solicitado e somente quando puder ser assegurado que nenhuma parte do corpo está nessas zonas de perigo.
4.2.8 Mau funcionamento e reparo da máquina.
4.2.8.1 A partida da máquina deve ser evitada.
4.2.8.2 A manipulação das diferentes partes da máquina deve ser possível manualmente ou com ferramentas sem nenhum perigo.
4.2.8.3 Não deve ser possível tocar nas partes energizadas da máquina.
4.2.8.4 Danos pessoais não devem resultar da emissão de meios fluidos ou gasosos.
Os robôs industriais são encontrados em toda a indústria, sempre que altas demandas de produtividade devem ser atendidas. O uso de robôs, no entanto, requer projeto, aplicação e implementação de controles de segurança apropriados para evitar a criação de riscos para o pessoal de produção, programadores, especialistas em manutenção e engenheiros de sistema.
Por que os robôs industriais são perigosos?
Uma definição de robôs é “máquinas automáticas móveis que são livremente programáveis e capazes de operar com pouca ou nenhuma interface humana”. Atualmente, esses tipos de máquinas são usados em uma ampla variedade de aplicações na indústria e na medicina, incluindo treinamento. Os robôs industriais estão sendo cada vez mais usados para funções-chave, como novas estratégias de fabricação (CIM, JIT, produção enxuta e assim por diante) em instalações complexas. Seu número e amplitude de aplicações e a complexidade dos equipamentos e instalações resultam em perigos como os seguintes:
Investigações no Japão indicam que mais de 50% dos acidentes de trabalho com robôs podem ser atribuídos a falhas nos circuitos eletrônicos do sistema de controle. Nas mesmas investigações, o “erro humano” foi responsável por menos de 20%. A conclusão lógica desta constatação é que os perigos causados por falhas do sistema não podem ser evitados por medidas comportamentais tomadas por seres humanos. Os projetistas e operadores, portanto, precisam fornecer e implementar medidas técnicas de segurança (consulte a figura 1).
Figura 1. Sistema de controle operacional especial para a configuração de um robô de soldagem móvel
Acidentes e modos de operação
Acidentes fatais envolvendo robôs industriais começaram a ocorrer no início dos anos 1980. Estatísticas e investigações indicam que a maioria dos incidentes e acidentes não ocorre em operação normal (cumprimento automático da tarefa em questão). Ao trabalhar com máquinas e instalações de robôs industriais, há ênfase em modos de operação especiais, como comissionamento, configuração, programação, testes, verificações, solução de problemas ou manutenção. Nesses modos de operação, as pessoas geralmente estão em uma zona de perigo. O conceito de segurança deve proteger o pessoal de eventos negativos nesses tipos de situações.
Requisitos Internacionais de Segurança
A Diretriz de Máquinas da EEC de 1989 (89/392/EEC (consulte o artigo “Princípios de segurança para máquinas-ferramenta CNC” neste capítulo e em outras partes deste enciclopédia)) estabelece os principais requisitos de segurança e saúde para máquinas. Uma máquina é considerada a soma total de partes ou dispositivos interligados, dos quais pelo menos uma parte ou dispositivo pode se mover e correspondentemente tem uma função. No que diz respeito aos robôs industriais, deve-se observar que todo o sistema, e não apenas um único equipamento na máquina, deve atender aos requisitos de segurança e estar equipado com os dispositivos de segurança apropriados. A análise de perigos e a avaliação de riscos são métodos adequados para determinar se esses requisitos foram atendidos (consulte a figura 2).
Figura 2. Diagrama de blocos para um sistema de segurança pessoal
Requisitos e Medidas de Segurança em Operação Normal
O uso da tecnologia robótica coloca exigências máximas na análise de perigos, avaliação de riscos e conceitos de segurança. Por esta razão, os seguintes exemplos e sugestões podem servir apenas como diretrizes:
1. Dada a meta de segurança de que o acesso manual ou físico a áreas perigosas envolvendo movimentos automáticos deve ser evitado, as soluções sugeridas incluem o seguinte:
2. Dado o objetivo de segurança de que nenhuma pessoa pode ser ferida como resultado da liberação de energia (partes voadoras ou feixes de energia), as soluções sugeridas incluem:
3. As interfaces entre operação normal e operação especial (por exemplo, dispositivos de travamento de porta, barreiras de luz, tapetes de segurança) são necessárias para permitir que o sistema de controle de segurança reconheça automaticamente a presença de pessoal.
Exigências e Medidas de Segurança em Modos Especiais de Operação
Certos modos de operação especiais (por exemplo, configuração, programação) em um robô industrial requerem movimentos que devem ser avaliados diretamente no local de operação. O objetivo de segurança relevante é que nenhum movimento possa colocar em risco as pessoas envolvidas. Os movimentos devem ser
Uma solução sugerida para esse objetivo poderia envolver o uso de sistemas especiais de controle operacional que permitem apenas movimentos controláveis e gerenciáveis usando controles reconhecíveis. A velocidade dos movimentos é assim reduzida com segurança (redução de energia pela conexão de um transformador de isolamento ou pelo uso de equipamento de monitoramento de estado à prova de falhas) e a condição segura é reconhecida antes que o controle seja ativado (consulte a figura 3).
Figura 3. Robô industrial de seis eixos em uma gaiola de segurança com portas de material
Exigências sobre Sistemas de Controle de Segurança
Uma das características de um sistema de controle de segurança deve ser a garantia de funcionamento da função de segurança necessária sempre que surgirem falhas. Máquinas de robôs industriais devem ser direcionadas quase instantaneamente de um estado perigoso para um estado seguro. As medidas de controle de segurança necessárias para alcançar isso incluem as seguintes metas de segurança:
As soluções sugeridas para fornecer sistemas de controle de segurança confiáveis seriam:
Objetivos de Segurança para a Construção e Uso de Robôs Industriais.
Quando os robôs industriais são construídos e usados, tanto os fabricantes quanto os usuários são obrigados a instalar controles de segurança de última geração. Além do aspecto da responsabilidade legal, também pode haver uma obrigação moral de garantir que a tecnologia do robô também seja uma tecnologia segura.
Modo de operação normal
As seguintes condições de segurança devem ser fornecidas quando as máquinas do robô estiverem operando no modo normal:
Modos de operação especiais
As seguintes condições de segurança devem ser fornecidas quando as máquinas do robô estiverem operando em modos especiais:
O seguinte deve ser evitado durante a retificação de uma falha no processo de produção:
As seguintes condições de segurança devem ser asseguradas durante a configuração:
Nenhum movimento perigoso pode ser iniciado como resultado de um comando defeituoso ou entrada de comando incorreta.
Durante a programação, as seguintes condições de segurança são aplicáveis:
Operações de teste seguras requerem as seguintes precauções:
Evite o acesso manual ou físico a áreas perigosas devido a movimentos automáticos.
Ao inspecionar máquinas robóticas, os procedimentos seguros incluem o seguinte:
A solução de problemas geralmente requer iniciar a máquina do robô enquanto ela estiver em uma condição potencialmente perigosa, e procedimentos especiais de trabalho seguro, como os seguintes, devem ser implementados:
A correção de uma falha e o trabalho de manutenção também podem exigir a inicialização enquanto a máquina estiver em uma condição insegura e, portanto, exigir as seguintes precauções:
Este artigo discute o projeto e a implementação de sistemas de controle relacionados à segurança que lidam com todos os tipos de sistemas elétricos, eletrônicos e eletrônicos programáveis (incluindo sistemas baseados em computador). A abordagem geral está de acordo com a proposta de Norma 1508 da Comissão Eletrotécnica Internacional (IEC) (Segurança Funcional: Relacionada à Segurança
sistemas) (CEI 1993).
Contexto
Durante a década de 1980, os sistemas baseados em computador – geralmente referidos como sistemas eletrônicos programáveis (PESs) – foram cada vez mais usados para realizar funções de segurança. As principais forças motrizes por trás dessa tendência foram (1) funcionalidade aprimorada e benefícios econômicos (particularmente considerando o ciclo de vida total do dispositivo ou sistema) e (2) o benefício específico de certos designs, que só poderiam ser realizados quando a tecnologia de computador fosse usada . Durante a introdução inicial de sistemas baseados em computador, uma série de descobertas foram feitas:
Para resolver esses problemas, vários órgãos publicaram ou começaram a desenvolver diretrizes para permitir a exploração segura da tecnologia PES. No Reino Unido, o Health and Safety Executive (HSE) desenvolveu diretrizes para sistemas eletrônicos programáveis usados para aplicações relacionadas à segurança e, na Alemanha, um projeto de norma (DIN 1990) foi publicado. Dentro da Comunidade Européia, um elemento importante no trabalho sobre as Normas Européias harmonizadas relativas aos sistemas de controle relacionados à segurança (incluindo aqueles que empregam PESs) foi iniciado em conexão com os requisitos da Diretiva de Máquinas. Nos Estados Unidos, a Instrument Society of America (ISA) produziu um padrão sobre PESs para uso nas indústrias de processo, e o Center for Chemical Process Safety (CCPS), uma diretoria do American Institute of Chemical Engineers, produziu diretrizes para o setor de processos químicos.
Uma importante iniciativa de padronização está ocorrendo atualmente dentro da IEC para desenvolver um padrão internacional de base genérica para sistemas elétricos, eletrônicos e eletrônicos programáveis (E/E/PES) relacionados à segurança que possam ser usados por muitos setores de aplicações, incluindo o processo, setores médico, transporte e maquinário. O padrão internacional IEC proposto compreende sete partes sob o título geral IEC 1508. Segurança funcional de sistemas elétricos/eletrônicos/eletrônicos programáveis relacionados à segurança. As várias Partes são as seguintes:
Quando finalizada, esta Norma Internacional de base genérica constituirá uma publicação de segurança básica IEC abrangendo segurança funcional para sistemas elétricos, eletrônicos e eletrônicos programáveis relacionados à segurança e terá implicações para todas as normas IEC, abrangendo todos os setores de aplicação no que diz respeito ao futuro design e uso de sistemas elétricos/eletrônicos/eletrônicos programáveis relacionados à segurança. Um dos principais objetivos da norma proposta é facilitar o desenvolvimento de normas para os diversos setores (ver figura 1).
Figura 1. Normas setoriais genéricas e de aplicação
Benefícios e problemas do PES
A adoção de PESs para fins de segurança tinha muitas vantagens potenciais, mas foi reconhecido que elas seriam alcançadas apenas se metodologias de projeto e avaliação apropriadas fossem usadas, porque: (1) muitos dos recursos dos PESs não permitem a integridade da segurança (que ou seja, o desempenho de segurança dos sistemas que executam as funções de segurança necessárias) seja previsto com o mesmo grau de confiança tradicionalmente disponível para sistemas menos complexos baseados em hardware (“com fio”); (2) reconheceu-se que, embora o teste fosse necessário para sistemas complexos, não era suficiente por si só. Isso significava que, mesmo que o PES estivesse implementando funções de segurança relativamente simples, o nível de complexidade da eletrônica programável era significativamente maior do que o dos sistemas com fio que estavam substituindo; e (3) esse aumento na complexidade significou que as metodologias de projeto e avaliação tiveram que receber muito mais consideração do que anteriormente, e que o nível de competência pessoal necessário para atingir níveis adequados de desempenho dos sistemas relacionados à segurança foi posteriormente maior.
Os benefícios dos PESs baseados em computador incluem o seguinte:
O uso de sistemas baseados em computador em aplicações relacionadas à segurança cria uma série de problemas que precisam ser tratados adequadamente, como os seguintes:
Sistemas de segurança sob consideração
Os tipos de sistemas relacionados à segurança considerados são elétricos, eletrônicos e sistemas eletrônicos programáveis (E/E/PESs). O sistema inclui todos os elementos, particularmente sinais que se estendem de sensores ou de outros dispositivos de entrada no equipamento sob controle e transmitidos por meio de autoestradas de dados ou outros caminhos de comunicação para os atuadores ou outros dispositivos de saída (consulte a figura 2).
Figura 2. Sistema elétrico, eletrônico e eletrônico programável (E/E/PES)
O termo dispositivo eletrônico elétrico, eletrônico e programável tem sido usado para abranger uma ampla variedade de dispositivos e abrange as três classes principais a seguir:
Por definição, um sistema relacionado à segurança serve a dois propósitos:
Este conceito é ilustrado na figura 3.
Figura 3. Principais recursos dos sistemas relacionados à segurança
Falhas do sistema
Para garantir a operação segura dos sistemas relacionados à segurança E/E/PES, é necessário reconhecer as várias causas possíveis de falha do sistema relacionado à segurança e garantir que sejam tomadas as precauções adequadas contra cada uma delas. As falhas são classificadas em duas categorias, conforme ilustrado na figura 4.
Figura 4. Categorias de falha
Proteção de Sistemas Relacionados à Segurança
Os termos usados para indicar as medidas de precaução exigidas por um sistema relacionado à segurança para proteção contra falhas aleatórias de hardware e falhas sistemáticas são medidas de integridade de segurança de hardware e a medidas sistemáticas de integridade de segurança respectivamente. As medidas de precaução que um sistema relacionado à segurança pode aplicar contra falhas aleatórias de hardware e falhas sistemáticas são denominadas integridade de segurança. Esses conceitos são ilustrados na figura 5.
Figura 5. Termos de desempenho de segurança
Dentro do padrão internacional proposto IEC 1508, existem quatro níveis de integridade de segurança, denominados níveis de integridade de segurança 1, 2, 3 e 4. O nível de integridade de segurança 1 é o nível de integridade de segurança mais baixo e o nível de integridade de segurança 4 é o mais alto. O nível de integridade de segurança (seja 1, 2, 3 ou 4) para o sistema relacionado à segurança dependerá da importância do papel que o sistema relacionado à segurança está desempenhando na obtenção do nível de segurança exigido para o equipamento sob controle. Vários sistemas relacionados à segurança podem ser necessários - alguns dos quais podem ser baseados em tecnologia pneumática ou hidráulica.
Projeto de Sistemas Relacionados à Segurança
Uma análise recente de 34 incidentes envolvendo sistemas de controle (HSE) descobriu que 60% de todos os casos de falha foram “embutidos” antes que o sistema de controle relacionado à segurança fosse colocado em uso (figura 7). A consideração de todas as fases do ciclo de vida da segurança é necessária para a produção de sistemas relacionados à segurança adequados.
Figura 7. Causa primária (por fase) de falha do sistema de controle
A segurança funcional dos sistemas relacionados à segurança depende não apenas de garantir que os requisitos técnicos sejam especificados adequadamente, mas também de garantir que os requisitos técnicos sejam efetivamente implementados e que a integridade do projeto inicial seja mantida durante toda a vida útil do equipamento. Isso só pode ser alcançado se um sistema de gerenciamento de segurança eficaz estiver em vigor e as pessoas envolvidas em qualquer atividade forem competentes com relação às funções que devem desempenhar. Particularmente quando sistemas complexos relacionados à segurança estão envolvidos, é essencial que um sistema de gerenciamento de segurança adequado esteja em vigor. Isso leva a uma estratégia que garante o seguinte:
Para abordar todos os requisitos técnicos relevantes de segurança funcional de maneira sistemática, o conceito de Safety Lifecycle foi desenvolvido. Uma versão simplificada do Safety Lifecycle no padrão internacional emergente IEC 1508 é mostrada na figura 8. As principais fases do Safety Lifecycle são:
Figura 8. Papel do Ciclo de Vida de Segurança na obtenção da segurança funcional
Nível de segurança
A estratégia de projeto para a obtenção de níveis adequados de integridade de segurança para os sistemas relacionados à segurança é ilustrada na figura 9 e na figura 10. Um nível de integridade de segurança é baseado no papel que o sistema relacionado à segurança está desempenhando na obtenção do nível geral de segurança para os equipamentos sob controle. O nível de integridade de segurança especifica as precauções que precisam ser levadas em consideração no projeto contra falhas aleatórias de hardware e falhas sistemáticas.
Figura 9. Papel dos níveis de integridade de segurança no processo de projeto
Figura 10. Papel do Ciclo de Vida de Segurança no processo de especificação e projeto
O conceito de segurança e nível de segurança se aplica ao equipamento sob controle. O conceito de segurança funcional se aplica aos sistemas relacionados à segurança. A segurança funcional para os sistemas relacionados à segurança deve ser alcançada se um nível adequado de segurança for alcançado para o equipamento que está causando o perigo. O nível de segurança especificado para uma situação específica é um fator chave na especificação dos requisitos de integridade de segurança para os sistemas relacionados à segurança.
O nível de segurança exigido dependerá de muitos fatores, por exemplo, a gravidade da lesão, o número de pessoas expostas ao perigo, a frequência com que as pessoas são expostas ao perigo e a duração da exposição. Fatores importantes serão a percepção e as opiniões daqueles expostos ao evento perigoso. Para chegar ao que constitui um nível de segurança adequado para uma aplicação específica, várias entradas são consideradas, incluindo as seguintes:
Sumário
Ao projetar e usar sistemas relacionados à segurança, deve-se lembrar que é o equipamento sob controle que cria o perigo potencial. Os sistemas relacionados à segurança são projetados para reduzir a frequência (ou probabilidade) do evento perigoso e/ou as consequências do evento perigoso. Uma vez que o nível de segurança foi definido para o equipamento, o nível de integridade de segurança para o sistema relacionado à segurança pode ser determinado, e é o nível de integridade de segurança que permite ao projetista especificar as precauções que precisam ser incorporadas ao projeto para ser implantado contra hardware aleatório e falhas sistemáticas.
Máquinas, plantas de processo e outros equipamentos podem, se apresentarem mau funcionamento, apresentar riscos de eventos perigosos, como incêndios, explosões, overdoses de radiação e partes móveis. Uma das maneiras pelas quais essas plantas, equipamentos e máquinas podem funcionar mal é por falhas de dispositivos eletromecânicos, eletrônicos e eletrônicos programáveis (E/E/PE) usados no projeto de seus sistemas de controle ou segurança. Essas falhas podem surgir tanto de falhas físicas no dispositivo (por exemplo, de desgaste ocorrendo aleatoriamente no tempo (falhas aleatórias de hardware)); ou de falhas sistemáticas (por exemplo, erros cometidos na especificação e projeto de um sistema que causam falha devido a (1) alguma combinação particular de entradas, (2) alguma condição ambiental (3) entradas incorretas ou incompletas de sensores, ( 4) entrada de dados incompleta ou errônea pelos operadores e (5) possíveis falhas sistemáticas devido a um design de interface ruim).
Falhas de sistemas relacionadas à segurança
Este artigo aborda a segurança funcional de sistemas de controle relacionados à segurança e considera os requisitos técnicos de hardware e software necessários para atingir a integridade de segurança necessária. A abordagem geral está de acordo com o padrão proposto da Comissão Eletrotécnica Internacional IEC 1508, Partes 2 e 3 (IEC 1993). O objetivo geral do projeto de norma internacional IEC 1508, Segurança Funcional: Sistemas Relacionados à Segurança, é garantir que a planta e o equipamento possam ser automatizados com segurança. Um objetivo fundamental no desenvolvimento do padrão internacional proposto é prevenir ou minimizar a frequência de:
O artigo “Sistemas elétricos, eletrônicos e eletrônicos programáveis relacionados à segurança” estabelece a abordagem geral de gerenciamento de segurança incorporada na Parte 1 da IEC 1508 para garantir a segurança dos sistemas de controle e proteção que são importantes para a segurança. Este artigo descreve o projeto de engenharia conceitual geral necessário para reduzir o risco de um acidente a um nível aceitável, incluindo a função de qualquer sistema de controle ou proteção baseado na tecnologia E/E/PE.
Na figura 1, o risco do equipamento, planta de processo ou máquina (geralmente referido como equipamento sob controle (EUC) sem dispositivos de proteção) é marcado em uma extremidade da Escala de Risco EUC, e o nível alvo de risco necessário para atender ao nível de segurança exigido está na outra extremidade. No meio, é mostrada a combinação de sistemas relacionados à segurança e instalações externas de redução de risco necessárias para compensar a redução de risco necessária. Estes podem ser de vários tipos – mecânicos (por exemplo, válvulas de alívio de pressão), hidráulicos, pneumáticos, físicos, bem como sistemas E/E/PE. A Figura 2 enfatiza o papel de cada camada de segurança na proteção do EUC à medida que o acidente avança.
Figura 1. Redução de riscos: Conceitos gerais
Figura 2. Modelo geral: camadas de proteção
Desde que uma análise de perigo e risco tenha sido realizada no EUC conforme exigido na Parte 1 da IEC 1508, o projeto conceitual geral para segurança foi estabelecido e, portanto, as funções necessárias e a meta de Nível de Integridade de Segurança (SIL) para qualquer E/E/ O sistema de controle ou proteção PE foi definido. A meta de nível de integridade de segurança é definida com relação a uma medida de falha de meta (consulte a tabela 1).
Tabela 1. Níveis de integridade de segurança para sistemas de proteção: medidas de falha alvo
Nível de integridade de segurança Modo de operação sob demanda (Probabilidade de falha em executar sua função de projeto sob demanda)
4 10-5 ≤ × 10-4
3 10-4 ≤ × 10-3
2 10-3 ≤ × 10-2
1 10-2 ≤ × 10-1
Sistemas de Proteção
Este documento descreve os requisitos técnicos que o projetista de um sistema relacionado à segurança E/E/PE deve considerar para satisfazer a meta de Nível de Integridade de Segurança exigida. O foco está em um sistema de proteção típico que utiliza eletrônica programável para permitir uma discussão mais aprofundada dos principais problemas com pouca perda em geral. Um sistema de proteção típico é mostrado na figura 3, que descreve um sistema de segurança de canal único com um desligamento secundário ativado por meio de um dispositivo de diagnóstico. Em operação normal, a condição insegura do EUC (por exemplo, excesso de velocidade em uma máquina, alta temperatura em uma planta química) será detectada pelo sensor e transmitida à eletrônica programável, que comandará os atuadores (através dos relés de saída) para colocar o sistema em um estado seguro (por exemplo, desenergizando o motor elétrico da máquina, abrindo uma válvula para aliviar a pressão).
Figura 3. Sistema de proteção típico
Mas e se houver falhas nos componentes do sistema de proteção? Esta é a função do desligamento secundário, que é ativado pelo recurso de diagnóstico (autoverificação) deste projeto. No entanto, o sistema não é totalmente à prova de falhas, pois o projeto tem apenas uma certa probabilidade de estar disponível quando solicitado a realizar sua função de segurança (ele tem uma certa probabilidade de falha sob demanda ou um certo nível de integridade de segurança). Por exemplo, o projeto acima pode ser capaz de detectar e tolerar certos tipos de falha da placa de saída, mas não seria capaz de resistir a uma falha da placa de entrada. Portanto, sua integridade de segurança será muito menor do que a de um projeto com uma placa de entrada de maior confiabilidade, diagnósticos aprimorados ou alguma combinação destes.
Existem outras causas possíveis de falhas do cartão, incluindo falhas físicas “tradicionais” no hardware, falhas sistemáticas, incluindo erros na especificação de requisitos, falhas de implementação no software e proteção inadequada contra condições ambientais (por exemplo, umidade). O diagnóstico neste projeto de canal único pode não cobrir todos esses tipos de falhas e, portanto, isso limitará o nível de integridade de segurança alcançado na prática. (A cobertura é uma medida da porcentagem de falhas que um projeto pode detectar e lidar com segurança.)
Requerimentos técnicos
As partes 2 e 3 do rascunho da IEC 1508 fornecem uma estrutura para identificar as várias causas potenciais de falha em hardware e software e para selecionar recursos de projeto que superem essas causas potenciais de falha apropriadas ao nível de integridade de segurança exigido do sistema relacionado à segurança. Por exemplo, a abordagem técnica geral para o sistema de proteção na figura 3 é mostrada na figura 4. A figura indica as duas estratégias básicas para superar faltas e falhas: (1) prevenção de falhas, onde são tomados cuidados para evitar a criação de falhas; e (2) tolerância ao erro, onde o design é criado especificamente para tolerar falhas especificadas. O sistema de canal único mencionado acima é um exemplo de projeto tolerante a falhas (limitado), em que os diagnósticos são usados para detectar certas falhas e colocar o sistema em um estado seguro antes que ocorra uma falha perigosa.
Figura 4. Especificação de projeto: solução de projeto
prevenção de falhas
A prevenção de falhas tenta evitar que falhas sejam introduzidas em um sistema. A abordagem principal é usar um método sistemático de gerenciamento do projeto para que a segurança seja tratada como uma qualidade definível e gerenciável de um sistema, durante o projeto e, posteriormente, durante a operação e manutenção. A abordagem, que é semelhante à garantia de qualidade, é baseada no conceito de feedback e envolve: (1) planejamento (definição de objetivos de segurança, identificando as formas e meios para atingir os objetivos); (2) medição realização em relação ao plano durante a implementação e (3) aplicar retornos para corrigir quaisquer desvios. As revisões de projeto são um bom exemplo de uma técnica de prevenção de falhas. Na IEC 1508, essa abordagem de “qualidade” para evitar falhas é facilitada pelos requisitos para usar um ciclo de vida de segurança e empregar procedimentos de gerenciamento de segurança para hardware e software. Para o último, eles geralmente se manifestam como procedimentos de garantia de qualidade de software, como os descritos na ISO 9000-3 (1990).
Além disso, as Partes 2 e 3 da IEC 1508 (relativas a hardware e software, respectivamente) classificam certas técnicas ou medidas que são consideradas úteis para evitar falhas durante as várias fases do ciclo de vida de segurança. A Tabela 2 apresenta um exemplo da Parte 3 para a fase de projeto e desenvolvimento do software. O projetista usaria a tabela para auxiliar na seleção de técnicas de prevenção de falhas, dependendo do Nível de Integridade de Segurança exigido. Com cada técnica ou medida nas tabelas, há uma recomendação para cada Nível de Integridade de Segurança, de 1 a 4. A gama de recomendações abrange Altamente Recomendado (HR), Recomendado (R), Neutro - nem a favor nem contra (—) e Não recomendado (NR).
Tabela 2. Projeto e desenvolvimento de software
Técnica/medida |
LIS 1 |
LIS 2 |
LIS 3 |
LIS 4 |
1. Métodos formais, incluindo, por exemplo, CCS, CSP, HOL, LOTOS |
- |
R |
R |
HR |
2. Métodos semiformais |
HR |
HR |
HR |
HR |
3. Estruturado. Metodologia incluindo, por exemplo, JSD, MASCOT, SADT, SSADM e YOURDON |
HR |
HR |
HR |
HR |
4. Abordagem modular |
HR |
HR |
HR |
HR |
5. Padrões de design e codificação |
R |
HR |
HR |
HR |
RH = altamente recomendado; R = recomendado; NR = não recomendado;— = neutro: a técnica/medida não é nem a favor nem contra o SIL.
Observação: uma técnica/medida numerada deve ser selecionada de acordo com o nível de integridade de segurança.
Tolerância ao erro
A IEC 1508 requer níveis crescentes de tolerância a falhas à medida que a meta de integridade de segurança aumenta. A norma reconhece, no entanto, que a tolerância a falhas é mais importante quando os sistemas (e os componentes que compõem esses sistemas) são complexos (designados como Tipo B na IEC 1508). Para sistemas menos complexos e “bem comprovados”, o grau de tolerância a falhas pode ser relaxado.
Tolerância contra falhas aleatórias de hardware
A Tabela 3 mostra os requisitos para tolerância a falhas contra falhas aleatórias de hardware em componentes de hardware complexos (por exemplo, microprocessadores) quando usado em um sistema de proteção como mostrado na figura 3. O projetista pode precisar considerar uma combinação apropriada de diagnóstico, tolerância a falhas e verificações manuais de prova para superar esta classe de falha, dependendo do Nível de Integridade de Segurança exigido.
Tabela 3. Nível de Integridade de Segurança - Requisitos de falha para componentes Tipo B1
1 Falhas não detectadas relacionadas à segurança devem ser detectadas pela verificação de prova.
2 Para componentes sem cobertura de diagnóstico médio on-line, o sistema deve ser capaz de executar a função de segurança na presença de uma única falha. Falhas não detectadas relacionadas à segurança devem ser detectadas pela verificação de prova.
3 Para componentes com alta cobertura de diagnóstico on-line, o sistema deve ser capaz de realizar a função de segurança na presença de uma única falha. Para componentes sem alta cobertura de diagnóstico on-line, o sistema deve ser capaz de executar a função de segurança na presença de duas falhas. Falhas não detectadas relacionadas à segurança devem ser detectadas pela verificação de prova.
4 Os componentes devem ser capazes de realizar a função de segurança na presença de duas falhas. As falhas devem ser detectadas com alta cobertura de diagnóstico on-line. Falhas não detectadas relacionadas à segurança devem ser detectadas pela verificação de prova. A análise quantitativa de hardware deve ser baseada em suposições de pior caso.
1Componentes cujos modos de falha não são bem definidos ou testáveis, ou para os quais existem dados de falha ruins da experiência de campo (por exemplo, componentes eletrônicos programáveis).
A IEC 1508 ajuda o projetista fornecendo tabelas de especificações de projeto (consulte a tabela 4) com parâmetros de projeto indexados em relação ao Nível de Integridade de Segurança para diversas arquiteturas de sistemas de proteção comumente usados.
Tabela 4. Requisitos para Nível de Integridade de Segurança 2 - Arquiteturas de sistemas eletrônicos programáveis para sistemas de proteção
configuração do sistema PE |
Cobertura de diagnóstico por canal |
Intervalo de teste de prova off-line (TI) |
Tempo médio para viagem espúria |
PE único, E/S única, ext. WD |
Alta |
de 6 meses |
1.6 anos |
PE duplo, E/S única |
Alta |
de 6 meses |
10 anos |
PE duplo, E/S dupla, 2oo2 |
Alta |
de 3 meses |
1,281 anos |
PE duplo, E/S dupla, 1oo2 |
nenhum |
de 2 meses |
1.4 anos |
PE duplo, E/S dupla, 1oo2 |
Baixo |
de 5 meses |
1.0 anos |
PE duplo, E/S dupla, 1oo2 |
Médio |
de 18 meses |
0.8 anos |
PE duplo, E/S dupla, 1oo2 |
Alta |
de 36 meses |
0.8 anos |
PE duplo, E/S dupla, 1oo2D |
nenhum |
de 2 meses |
1.9 anos |
PE duplo, E/S dupla, 1oo2D |
Baixo |
de 4 meses |
4.7 anos |
PE duplo, E/S dupla, 1oo2D |
Médio |
de 18 meses |
18 anos |
PE duplo, E/S dupla, 1oo2D |
Alta |
48 + meses |
168 anos |
Triplo PE, Triplo E/S, IPC, 2oo3 |
nenhum |
Meses 1 |
20 anos |
Triplo PE, Triplo E/S, IPC, 2oo3 |
Baixo |
de 3 meses |
25 anos |
Triplo PE, Triplo E/S, IPC, 2oo3 |
Médio |
de 12 meses |
30 anos |
Triplo PE, Triplo E/S, IPC, 2oo3 |
Alta |
48 + meses |
168 anos |
A primeira coluna da tabela representa arquiteturas com vários graus de tolerância a falhas. Em geral, as arquiteturas localizadas perto da parte inferior da tabela têm um grau mais alto de tolerância a falhas do que aquelas próximas ao topo. Um sistema 1oo2 (um em dois) é capaz de resistir a qualquer falha, assim como 2oo3.
A segunda coluna descreve a cobertura percentual de qualquer diagnóstico interno. Quanto mais alto o nível dos diagnósticos, mais falhas serão detectadas. Em um sistema de proteção, isso é importante porque, desde que o componente defeituoso (por exemplo, um cartão de entrada) seja reparado dentro de um prazo razoável (geralmente 8 horas), há pouca perda na segurança funcional. (Nota: este não seria o caso de um sistema de controle contínuo, porque qualquer falha provavelmente causará uma condição insegura imediata e o potencial para um incidente.)
A terceira coluna mostra o intervalo entre os testes de prova. Estes são testes especiais que devem ser realizados para exercitar completamente o sistema de proteção para garantir que não haja falhas latentes. Normalmente, eles são executados pelo fornecedor do equipamento durante os períodos de desligamento da planta.
A quarta coluna mostra a taxa de disparo espúrio. Um disparo espúrio é aquele que faz com que a planta ou equipamento desligue quando não há desvio de processo. O preço da segurança costuma ser uma taxa de disparo espúrio mais alta. Um sistema de proteção redundante simples - 1oo2 - tem, com todos os outros fatores de projeto inalterados, um nível de integridade de segurança mais alto, mas também uma taxa de disparo espúrio mais alta do que um sistema de canal único (1oo1).
Se uma das arquiteturas da tabela não estiver sendo utilizada ou se o projetista quiser fazer uma análise mais fundamental, a IEC 1508 permite essa alternativa. Técnicas de engenharia de confiabilidade, como modelagem de Markov, podem então ser usadas para calcular o elemento de hardware do Nível de Integridade de Segurança (Johnson 1989; Goble 1992).
Tolerância contra falhas sistemáticas e de causa comum
Essa classe de falha é muito importante em sistemas de segurança e é o fator limitante na obtenção da integridade de segurança. Em um sistema redundante, um componente ou subsistema, ou mesmo todo o sistema, é duplicado para obter alta confiabilidade a partir de peças de baixa confiabilidade. A melhoria da confiabilidade ocorre porque, estatisticamente, a chance de dois sistemas falharem simultaneamente por falhas aleatórias será o produto das confiabilidades dos sistemas individuais e, portanto, muito menor. Por outro lado, falhas sistemáticas e de causa comum fazem com que sistemas redundantes falhem coincidentemente quando, por exemplo, um erro de especificação no software faz com que as partes duplicadas falhem ao mesmo tempo. Outro exemplo seria a falha de uma fonte de alimentação comum para um sistema redundante.
A IEC 1508 fornece tabelas de técnicas de engenharia classificadas em relação ao Nível de Integridade de Segurança considerado eficaz no fornecimento de proteção contra falhas sistemáticas e de causa comum.
Exemplos de técnicas que fornecem defesas contra falhas sistemáticas são diversidade e redundância analítica. A base da diversidade é que, se um projetista implementa um segundo canal em um sistema redundante usando uma tecnologia ou linguagem de software diferente, as falhas nos canais redundantes podem ser consideradas independentes (isto é, uma baixa probabilidade de falha acidental). No entanto, particularmente na área de sistemas baseados em software, há algumas sugestões de que essa técnica pode não ser eficaz, pois a maioria dos erros está na especificação. A redundância analítica tenta explorar informações redundantes na planta ou na máquina para identificar falhas. Para as outras causas de falha sistemática – por exemplo, tensões externas – a norma fornece tabelas com recomendações sobre boas práticas de engenharia (por exemplo, separação de cabos de sinal e de energia) indexadas em relação ao Nível de Integridade de Segurança.
Conclusões
Os sistemas baseados em computador oferecem muitas vantagens - não apenas econômicas, mas também o potencial para melhorar a segurança. No entanto, a atenção aos detalhes necessária para realizar esse potencial é significativamente maior do que no caso de componentes de sistemas convencionais. Este artigo delineou os principais requisitos técnicos que um designer precisa levar em consideração para explorar com sucesso essa tecnologia.
Tratores e outras máquinas móveis em trabalhos agrícolas, florestais, de construção e mineração, bem como no manuseio de materiais, podem causar sérios riscos quando os veículos capotam lateralmente, tombam para a frente ou recuam para trás. Os riscos são maiores no caso de tratores de rodas com centros de gravidade elevados. Outros veículos que apresentam risco de capotamento são tratores de esteiras, carregadeiras, guindastes, colheitadeiras de frutas, tratores, basculantes, raspadeiras e niveladoras. Esses acidentes geralmente acontecem rápido demais para que motoristas e passageiros se desvencilhem do equipamento, podendo ficar presos embaixo do veículo. Por exemplo, tratores com centros de gravidade altos têm probabilidade considerável de capotar (e tratores estreitos têm ainda menos estabilidade do que os largos). Um interruptor de corte de motor de mercúrio para desligar a energia ao detectar movimento lateral foi introduzido em tratores, mas provou ser muito lento para lidar com as forças dinâmicas geradas no movimento de capotamento (Springfeldt 1993). Portanto, o dispositivo de segurança foi abandonado.
O fato de que tais equipamentos são frequentemente usados em terrenos inclinados ou irregulares ou em solo macio, e às vezes próximo a valas, trincheiras ou escavações, é uma causa importante que contribui para o capotamento. Se o equipamento auxiliar estiver preso no alto de um trator, a probabilidade de empinar para trás ao subir um declive (ou tombar para a frente ao descer) aumenta. Além disso, um trator pode capotar devido à perda de controle devido à pressão exercida pelo equipamento puxado pelo trator (por exemplo, quando o carro desce em um declive e o equipamento acoplado não freia e ultrapassa o trator). Riscos especiais surgem quando tratores são usados como veículos de reboque, especialmente se o gancho de reboque do trator for colocado em um nível mais alto do que o eixo da roda.
História
A notificação do problema de capotamento foi feita em nível nacional em alguns países onde ocorreram muitos capotamentos fatais. Na Suécia e na Nova Zelândia, o desenvolvimento e teste de estruturas de proteção contra capotamento (ROPS) em tratores (figura 1) já estavam em andamento na década de 1950, mas esse trabalho foi seguido por regulamentações apenas por parte das autoridades suecas; esses regulamentos entraram em vigor a partir do ano de 1959 (Springfeldt 1993).
Figura 1. Tipos usuais de ROPS em tratores
Os regulamentos propostos prescrevendo ROPS para tratores encontraram resistência no setor agrícola em vários países. Foi montada uma forte oposição contra os planos que exigiam que os empregadores instalassem o ROPS nos tratores existentes e até mesmo contra a proposta de que apenas os novos tratores fossem equipados pelos fabricantes com o ROPS. Eventualmente, muitos países exigiram com sucesso o ROPS para novos tratores e, mais tarde, alguns países puderam exigir que o ROPS fosse adaptado também em tratores antigos. Padrões internacionais relativos a tratores e máquinas de movimentação de terra, incluindo padrões de teste para ROPS, contribuíram para projetos mais confiáveis. Os tratores foram projetados e fabricados com centros de gravidade mais baixos e ganchos de reboque mais baixos. A tração nas quatro rodas reduziu o risco de capotamento. Mas a proporção de tratores com ROPS em países com muitos tratores antigos e sem obrigatoriedade de adaptação de ROPS ainda é bastante baixa.
investigações
Os acidentes de capotamento, principalmente os envolvendo tratores, têm sido estudados por pesquisadores em diversos países. No entanto, não existem estatísticas internacionais centralizadas com relação ao número de acidentes causados pelos tipos de máquinas móveis analisados neste artigo. As estatísticas disponíveis a nível nacional mostram, no entanto, que o número é elevado, especialmente na agricultura. De acordo com um relatório escocês de acidentes de capotamento de tratores no período de 1968 a 1976, 85% dos tratores envolvidos tinham equipamento acoplado no momento do acidente e, destes, metade tinha equipamento rebocado e metade equipamento montado. Dois terços dos acidentes de capotamento de tratores no relatório escocês ocorreram em encostas (Springfeldt 1993). Mais tarde, foi comprovado que o número de acidentes seria reduzido após a introdução de treinamento para dirigir em declives, bem como a aplicação de um instrumento para medir a inclinação de taludes combinado com um indicador de limites seguros de declive.
Em outras investigações, os pesquisadores da Nova Zelândia observaram que metade dos acidentes fatais com capotagem ocorreu em terreno plano ou em declives leves, e apenas um décimo ocorreu em declives acentuados. Em terreno plano, os motoristas de trator podem estar menos atentos aos perigos de capotamento e podem avaliar mal o risco representado por valas e terreno irregular. Das mortes por capotamento de tratores na Nova Zelândia no período de 1949 a 1980, 80% ocorreram em tratores de rodas e 20% em tratores de esteiras (Springfeldt 1993). Estudos na Suécia e na Nova Zelândia mostraram que cerca de 80% das mortes por capotamento de tratores ocorreram quando os tratores capotaram lateralmente. Metade dos tratores envolvidos nas mortes na Nova Zelândia rolaram 180°.
Estudos da correlação entre mortes por capotamento na Alemanha Ocidental e o ano modelo de tratores agrícolas (Springfeldt 1993) mostraram que 1 em 10,000 tratores velhos e desprotegidos fabricados antes de 1957 estava envolvido em uma fatalidade por capotamento. Dos tratores com ROPS prescritos, fabricados em 1970 e depois, 1 de 25,000 tratores foi envolvido em uma fatalidade de capotamento. Dos capotamentos fatais de tratores na Alemanha Ocidental no período de 1980-1985, dois terços das vítimas foram arremessados de sua área protegida e depois atropelados ou atingidos pelo trator (Springfeldt 1993). Dos capotamentos não fatais, um quarto dos motoristas foi arremessado do banco do motorista, mas não atropelado. É evidente que o risco de fatalidade aumenta se o motorista for arremessado para fora da área protegida (semelhante aos acidentes automobilísticos). A maioria dos tratores envolvidos possuía proa de dois pilares (figura 1 C) que não impedia que o condutor fosse arremessado para fora. Em alguns casos, o ROPS foi sujeito a quebra ou forte deformação.
As frequências relativas de lesões por 100,000 tratores em diferentes períodos em alguns países e a redução da taxa de mortalidade foram calculadas por Springfeldt (1993). A eficácia da ROPS na redução de lesões em acidentes de capotamento de tratores foi comprovada na Suécia, onde o número de mortes por 100,000 tratores foi reduzido de aproximadamente 17 para 0.3 durante o período de três décadas (1960-1990) (figura 2). No final do período estimou-se que cerca de 98% dos tratores estavam equipados com ROPS, principalmente na forma de cabina antiesmagamento (figura 1 A). Na Noruega, as mortes foram reduzidas de cerca de 24 para 4 por 100,000 tratores durante um período semelhante. No entanto, resultados piores foram alcançados na Finlândia e na Nova Zelândia.
Figura 2. Lesões por capotamento por 100,000 tratores na Suécia entre 1957 e 1990
Prevenção de Lesões por Capotamentos
O risco de capotamento é maior no caso dos tratores; no entanto, no trabalho agrícola e florestal, pouco se pode fazer para evitar que os tratores capotem. Ao montar o ROPS em tratores e naqueles tipos de máquinas de movimentação de terra com riscos potenciais de capotamento, o risco de lesões pessoais pode ser reduzido, desde que os motoristas permaneçam em seus assentos durante os eventos de capotamento (Springfeldt 1993). A frequência de mortes por capotamento depende muito da proporção de máquinas protegidas em uso e dos tipos de ROPS usados. Uma proa (figura 1 C) oferece muito menos proteção do que uma cabine ou um quadro (Springfeldt 1993). A estrutura mais eficaz é uma cabine à prova de esmagamento, que permite ao motorista permanecer dentro, protegido, durante um capotamento. (Outra razão para escolher uma cabine é que ela oferece proteção contra intempéries.) O meio mais eficaz de manter o motorista dentro da proteção do ROPS durante um capotamento é o cinto de segurança, desde que o motorista use o cinto ao operar o equipamento. Em alguns países, há placas de informação no banco do motorista avisando que o volante deve ser agarrado em caso de capotamento. Uma medida de segurança adicional é projetar a cabine do motorista ou o ambiente interno e a ROPS de modo a evitar a exposição a perigos como bordas afiadas ou protuberâncias.
Em todos os países, capotamentos de máquinas móveis, principalmente tratores, estão causando lesões graves. Existem, no entanto, diferenças consideráveis entre os países em relação às especificações técnicas relacionadas ao projeto de máquinas, bem como aos procedimentos administrativos para exames, testes, inspeções e marketing. A diversidade internacional que caracteriza os esforços de segurança nesse sentido pode ser explicada por considerações como as seguintes:
Regulamentos de Segurança
A natureza das regras que regem os requisitos para ROPS e o grau de implementação das regras em um país tem forte influência nos acidentes de capotamento, especialmente os fatais. Com isso em mente, o desenvolvimento de maquinário mais seguro foi auxiliado por diretrizes, códigos e padrões emitidos por organizações internacionais e nacionais. Além disso, muitos países adotaram prescrições rigorosas para ROPS, o que resultou em uma grande redução de lesões por capotamento.
Comunidade Econômica Européia
A partir de 1974, a Comunidade Econômica Européia (EEC) emitiu diretivas relativas à homologação de tratores agrícolas e florestais de rodas e, em 1977, emitiu diretrizes especiais sobre ROPS, incluindo sua fixação em tratores (Springfeldt 1993; EEC 1974, 1977, 1979, 1982, 1987). As diretivas prescrevem um procedimento para homologação e certificação por fabricante de tratores, e o ROPS deve ser revisado por um Exame de Aprovação de Tipo EEC. As diretivas foram aceitas por todos os países membros.
Algumas diretivas da EEC relativas a ROPS em tratores foram revogadas em 31 de dezembro de 1995 e substituídas pela diretiva geral de máquinas que se aplica a esses tipos de máquinas que apresentam riscos devido à sua mobilidade (EEC 1991). Os tratores de rodas, bem como algumas máquinas de movimentação de terra com capacidade superior a 15 kW (nomeadamente rastos e pás carregadoras, retroescavadoras, tratores de rastos, raspadoras, motoniveladoras e basculantes articulados) devem ser equipados com ROPS. Em caso de capotamento, a ROPS deve oferecer ao motorista e aos operadores um volume de limitação de deflexão adequado (ou seja, espaço que permita o movimento dos corpos dos ocupantes antes de entrar em contato com os elementos internos durante um acidente). É responsabilidade dos fabricantes ou de seus representantes autorizados realizar os testes apropriados.
Organização para a Cooperação e Desenvolvimento Económico
Em 1973 e 1987, a Organização para Cooperação e Desenvolvimento Econômico (OCDE) aprovou códigos padrão para testes de tratores (Springfeldt 1993; OCDE 1987). Eles fornecem resultados de testes de tratores e descrevem o equipamento de teste e as condições de teste. Os códigos exigem testes de muitas peças e funções de máquinas, por exemplo, a resistência do ROPS. Os Códigos de Tratores da OCDE descrevem um método estático e dinâmico de teste de ROPS em certos tipos de tratores. Uma ROPS pode ser projetada exclusivamente para proteger o motorista em caso de capotamento do trator. Deve ser testado novamente para cada modelo de trator no qual a ROPS será instalada. Os Códigos também exigem que seja possível montar uma proteção contra intempéries para o motorista na estrutura, de natureza mais ou menos temporária. Os códigos do trator foram aceitos por todos os órgãos membros da OCDE desde 1988, mas na prática os Estados Unidos e o Japão também aceitam ROPS que não cumprem os requisitos do código se forem fornecidos cintos de segurança (Springfeldt 1993).
Organização Internacional do Trabalho
Em 1965, a Organização Internacional do Trabalho (OIT) em seu manual, Segurança e Saúde no Trabalho Agrícola, exigia que uma cabine ou estrutura de resistência suficiente fosse adequadamente fixada aos tratores para fornecer proteção satisfatória para o motorista e os passageiros dentro da cabine em caso de capotamento do trator (Springfeldt 1993; ILO 1965). De acordo com os Códigos de Prática da OIT, os tratores agrícolas e florestais devem ser fornecidos com ROPS para proteger o operador e qualquer passageiro em caso de capotamento, queda de objetos ou deslocamento de cargas (ILO 1976).
A instalação da ROPS não deve afetar adversamente
Normas internacionais e nacionais
Em 1981, a Organização Internacional de Normalização (ISO) emitiu um padrão para tratores e máquinas para agricultura e silvicultura (ISO 1981). A norma descreve um método de teste estático para ROPS e estabelece condições de aceitação. O padrão foi aprovado pelos órgãos membros em 22 países; no entanto, o Canadá e os Estados Unidos expressaram desaprovação do documento por motivos técnicos. Uma Prática Padrão e Recomendada emitida em 1974 pela Society of Automotive Engineers (SAE) na América do Norte contém requisitos de desempenho para ROPS em tratores agrícolas de rodas e tratores industriais usados na construção, raspadores de pneus, carregadeiras frontais, tratores, carregadeiras de esteira , e motoniveladoras (SAE 1974 e 1975). O conteúdo da norma foi adotado como regulamentação nos Estados Unidos e nas províncias canadenses de Alberta e British Columbia.
Regras e Conformidade
Os Códigos e Normas Internacionais da OCDE dizem respeito ao projeto e construção de ROPS, bem como ao controle de sua resistência, mas carecem de autoridade para exigir que esse tipo de proteção seja colocado em prática (OCDE 1987; ISO 1981). A Comunidade Econômica Européia também propôs que tratores e máquinas de movimentação de terra fossem equipados com proteção (EEC 1974-1987). O objetivo das diretivas da EEC é alcançar a uniformidade entre as entidades nacionais no que diz respeito à segurança de novas máquinas na fase de fabricação. Os países membros são obrigados a seguir as diretrizes e emitir prescrições correspondentes. A partir de 1996, os países membros da EEC pretendem emitir regulamentos exigindo que novos tratores e máquinas de movimentação de terra sejam equipados com ROPS.
Em 1959, a Suécia se tornou o primeiro país a exigir ROPS para novos tratores (Springfeldt 1993). Requisitos correspondentes entraram em vigor na Dinamarca e na Finlândia dez anos depois. Mais tarde, nas décadas de 1970 e 1980, os requisitos obrigatórios para ROPS em novos tratores tornaram-se efetivos na Grã-Bretanha, Alemanha Ocidental, Nova Zelândia, Estados Unidos, Espanha, Noruega, Suíça e outros países. Em todos esses países, exceto nos Estados Unidos, as regras foram estendidas aos tratores antigos alguns anos depois, mas essas regras nem sempre foram obrigatórias. Na Suécia, todos os tratores devem estar equipados com cabine de proteção, regra que na Grã-Bretanha se aplica apenas a todos os tratores usados por trabalhadores agrícolas (Springfeldt 1993). Na Dinamarca, Noruega e Finlândia, todos os tratores devem ser fornecidos com pelo menos um quadro, enquanto nos Estados Unidos e nos estados australianos, os arcos são aceitos. Nos Estados Unidos, os tratores devem ter cintos de segurança.
Nos Estados Unidos, as máquinas de manuseio de materiais fabricadas antes de 1972 e usadas em obras de construção devem ser equipadas com ROPS que atendam aos padrões mínimos de desempenho (US Bureau of National Affairs 1975). As máquinas cobertas pelo requisito incluem alguns raspadores, carregadeiras frontais, tratores, tratores de esteiras, carregadeiras e motoniveladoras. O retrofitting foi realizado de ROPS em máquinas fabricadas cerca de três anos antes.
Summary
Em países com requisitos obrigatórios de ROPS para tratores novos e adaptação de ROPS em tratores antigos, houve uma diminuição das lesões por capotamento, especialmente as fatais. É evidente que uma cabine à prova de esmagamento é o tipo de ROPS mais eficaz. Um arco oferece pouca proteção em caso de capotamento. Muitos países prescreveram ROPS eficazes pelo menos em tratores novos e, a partir de 1996, em máquinas de movimentação de terra. Apesar disso, algumas autoridades parecem aceitar tipos de ROPS que não cumprem os requisitos promulgados pela OCDE e pela ISO. Espera-se que uma harmonização mais geral das regras que regem o ROPS seja realizada gradualmente em todo o mundo, incluindo os países em desenvolvimento.
" ISENÇÃO DE RESPONSABILIDADE: A OIT não se responsabiliza pelo conteúdo apresentado neste portal da Web em qualquer idioma que não seja o inglês, que é o idioma usado para a produção inicial e revisão por pares do conteúdo original. Algumas estatísticas não foram atualizadas desde a produção da 4ª edição da Enciclopédia (1998)."