58. Приложения безопасности
Редакторы глав: Кеннет Гереке и Чарльз Т. Поуп
Анализ системы
Ман Чунг Хо
Безопасность ручных и переносных электроинструментов
Министерство труда США — Управление по безопасности и гигиене труда; под редакцией Кеннета Гереке
Движущиеся части машин
Томас Бакстрём и Марианна Дёёш
Защита машины
Министерство труда США — Администрация по безопасности и гигиене труда; под редакцией Кеннета Гереке
Детекторы присутствия
Пол Шрайбер
Устройства для управления, изоляции и переключения энергии
Рене Трокслер
Приложения, связанные с безопасностью
Дитмар Райнерт и Карлхайнц Мефферт
Программное обеспечение и компьютеры: гибридные автоматизированные системы
Вальдемар Карвовский и Юзеф Зурада
Принципы проектирования систем безопасного управления
Георг Вондрачек
Принципы безопасности для станков с ЧПУ
Тони Реч, Гвидо Шмиттер и Альберт Марти
Принципы безопасности для промышленных роботов
Тони Реч, Гвидо Шмиттер и Альберт Марти
Технические требования к системам безопасности на основе электрических, электронных и программируемых электронных устройств
Джон Бразендейл и Рон Белл
опрокидывание
Бенгт Спрингфельдт
Падения с высоты
Жан Арто
Ограниченное пространство
Нил Макманус
Принципы предотвращения: обращение с материалами и внутреннее движение
Кари Хаккинен
Щелкните ссылку ниже, чтобы просмотреть таблицу в контексте статьи.
1. Возможные неисправности двухкнопочной схемы управления
2. Ограждения машин
3. Устройства
4. Способы подачи и выброса
5. Комбинации схемных структур в управлении машинами
6. Уровни полноты безопасности для систем защиты
7. Дизайн и разработка программного обеспечения
8. Уровень полноты безопасности: компоненты типа B
9. Требования целостности: архитектура электронных систем
10. Падения с высоты: Квебек, 1982–1987 гг.
11.Типовые системы защиты от падения и защиты от падения
12. Различия между предотвращением падения и защитой от падения
13. Образец формы для оценки опасных условий
14. Образец разрешения на въезд
Наведите курсор на миниатюру, чтобы увидеть подпись к рисунку, щелкните, чтобы увидеть рисунок в контексте статьи.
A система можно определить как набор взаимозависимых компонентов, объединенных таким образом, чтобы выполнять заданную функцию в определенных условиях. В этом смысле машина является осязаемым и особенно ярким примером системы, но есть и другие системы, включающие мужчин и женщин в команду, мастерскую или фабрику, которые гораздо сложнее и не так легко поддаются определению. Безопасность предполагает отсутствие опасности или риска несчастного случая или вреда. Во избежание двусмысленности общее понятие нежелательное явление будет трудоустроен. Абсолютная безопасность в смысле невозможности возникновения более или менее неприятных инцидентов недостижима; на самом деле нужно стремиться к очень низкой, а не к нулевой вероятности нежелательных событий.
Данную систему можно рассматривать как безопасную или небезопасную только в отношении тех характеристик, которые от нее действительно ожидаются. Имея это в виду, уровень безопасности системы можно определить следующим образом: «Для любого заданного множества нежелательных событий уровень безопасности (или небезопасности) системы определяется вероятностью того, что эти события произойдут в течение заданного времени. промежуток времени". Примеры нежелательных происшествий, которые могли бы представлять интерес в данной связи, включают: многочисленные смертельные случаи, смерть одного или нескольких человек, серьезные травмы, легкие травмы, ущерб окружающей среде, вредное воздействие на живых существ, разрушение растений или зданий и крупные или ограниченный материальный ущерб или повреждение оборудования.
Цель анализа системы безопасности
Целью анализа безопасности системы является установление факторов, влияющих на вероятность нежелательных событий, изучение того, как эти события происходят, и, в конечном счете, разработка превентивных мер для снижения их вероятности.
Аналитическая фаза проблемы может быть разделена на два основных аспекта:
После изучения различных нарушений функций и их последствий аналитики системной безопасности могут обратить свое внимание на превентивные меры. Исследования в этой области будут основываться непосредственно на ранее полученных данных. Это исследование превентивных средств следует двум основным аспектам анализа безопасности системы.
Методы анализа
Анализ безопасности системы может проводиться до или после события (априорно или апостериорно); в обоих случаях используемый метод может быть как прямым, так и обратным. Априорный анализ имеет место до нежелательного события. Аналитик берет определенное количество таких случаев и намеревается обнаружить различные стадии, которые могут привести к ним. Напротив, апостериорный анализ проводится после того, как произошло нежелательное событие. Его цель состоит в том, чтобы дать руководство на будущее и, в частности, сделать любые выводы, которые могут быть полезны для любых последующих априорных анализов.
Хотя может показаться, что априорный анализ гораздо более ценен, чем апостериорный, поскольку он предшествует происшествию, на самом деле они дополняют друг друга. Какой метод используется, зависит от сложности задействованной системы и от того, что уже известно о предмете. В случае материальных систем, таких как машины или промышленные объекты, предыдущий опыт обычно может помочь в подготовке довольно подробного априорного анализа. Однако даже в этом случае анализ не всегда безошибочен, и, несомненно, будет полезен последующий апостериорный анализ, основанный главным образом на изучении инцидентов, происходящих в ходе эксплуатации. Что касается более сложных систем с участием людей, таких как рабочие смены, мастерские или фабрики, то апостериорный анализ еще более важен. В таких случаях прошлого опыта не всегда достаточно для детального и надежного априорного анализа.
Апостериорный анализ может перерасти в априорный анализ, поскольку аналитик выходит за рамки одного процесса, который привел к рассматриваемому происшествию, и начинает изучать различные события, которые могут обоснованно привести к такому или подобным инцидентам.
Еще один способ, которым апостериорный анализ может стать априорным, — это когда акцент делается не на происшествии (предотвращение которого является основной целью текущего анализа), а на менее серьезных происшествиях. Эти инциденты, такие как технические неполадки, материальный ущерб и потенциальные или незначительные аварии, сами по себе относительно малозначительные, могут быть идентифицированы как предупредительные признаки более серьезных происшествий. В таких случаях, хотя и проведенный после возникновения незначительных происшествий, анализ будет априорным анализом в отношении более серьезных происшествий, которые еще не произошли.
Есть два возможных метода изучения механизма или логики последовательности двух или более событий:
На рис. 1 представлена схема схемы управления, требующей двух кнопок (B1 и B2) нужно нажать одновременно, чтобы активировать катушку реле (R) и запустить машину. Этот пример может быть использован для практической иллюстрации направлять и обратный методы, используемые при анализе безопасности системы.
Рис. 1. Двухкнопочная схема управления
Прямой метод
В прямой методаналитик начинает с (1) перечисления ошибок, дисфункций и неправильных приспособлений, (2) изучения их последствий и (3) определения того, представляют ли эти последствия угрозу безопасности. В случае рисунка 1 могут возникнуть следующие неисправности:
Затем аналитик может сделать вывод о последствиях этих ошибок, а результаты можно представить в табличной форме (таблица 1).
Таблица 1. Возможные неисправности двухкнопочной схемы управления и их последствия
Неисправности |
Последствия |
Обрыв провода между 2 и 2' |
Невозможно запустить машину* |
Случайное закрытие B1 (или Б2 ) |
Нет немедленных последствий |
Контакт в С1 (или С2 ) в результате |
Никаких немедленных последствий, но возможность |
Короткое замыкание между 1 и 1' |
Срабатывание катушки реле R — случайный пуск |
* Возникновение с прямым влиянием на надежность системы
** Происшествие, ответственное за серьезное снижение уровня безопасности системы.
*** Следует избегать опасных происшествий
См. текст и рисунок 1.
В таблице 1 последствия, представляющие опасность или способные серьезно снизить уровень безопасности системы, могут быть обозначены условными знаками типа ***.
Примечание: В таблице 1 разрыв провода между 2 и 2´ (показан на рис. 1) приводит к происшествию, которое не считается опасным. Это не оказывает прямого влияния на безопасность системы; однако вероятность возникновения такого инцидента имеет прямое отношение к надежности системы.
Прямой метод особенно подходит для моделирования. На рис. 2 показан аналоговый тренажер, предназначенный для изучения безопасности цепей управления прессом. Моделирование схемы управления позволяет убедиться, что при отсутствии неисправности схема действительно способна обеспечить требуемую функцию без нарушения критериев безопасности. Кроме того, симулятор может позволить аналитику вносить неисправности в различные компоненты схемы, наблюдать за их последствиями и, таким образом, отличать правильно спроектированные схемы (с небольшим количеством опасных неисправностей или без них) от плохо спроектированных схем. Этот тип анализа безопасности также может быть выполнен с использованием компьютера.
Рис. 2. Тренажер для исследования цепей управления прессом
Обратный метод
В обратный методаналитик работает в обратном направлении от нежелательного события, инцидента или аварии к различным предыдущим событиям, чтобы определить, какие из них могут привести к событиям, которых следует избегать. На рисунке 1 конечным событием, которого следует избегать, будет непреднамеренный запуск машины.
Результаты этого анализа могут быть представлены в виде диаграммы, напоминающей дерево (по этой причине обратный метод известен как «анализ дерева отказов»), как показано на рисунке 3.
Рисунок 3. Возможная цепочка событий
Схема следует за логическими операциями, наиболее важными из которых являются операции «ИЛИ» и «И». Операция «ИЛИ» означает, что [X1] произойдет, если имеет место либо [A], либо [B] (или оба). Операция «И» означает, что перед [X2] должно иметь место как [C], так и [D] (см. рис. 4).
Рисунок 4. Представление двух логических операций
Обратный метод очень часто используется при априорном анализе материальных систем, особенно в химической, авиационной, космической и атомной промышленности. Он также оказался чрезвычайно полезным в качестве метода расследования промышленных аварий.
Хотя они очень разные, прямой и обратный методы дополняют друг друга. Прямой метод основан на наборе неисправностей или дисфункций, поэтому ценность такого анализа во многом зависит от релевантности различных дисфункций, учитываемых на начальном этапе. В этом свете обратный метод кажется более систематическим. Зная, какие типы несчастных случаев или инцидентов могут произойти, аналитик теоретически может применить этот метод, чтобы вернуться ко всем дисфункциям или комбинациям дисфункций, способным их вызвать. Однако, поскольку все опасные варианты поведения системы не обязательно известны заранее, их можно обнаружить прямым методом, например, с помощью моделирования. Как только они будут обнаружены, опасности могут быть проанализированы более подробно обратным методом.
Проблемы анализа безопасности систем
Описанные выше аналитические методы — это не просто механические процессы, которые нужно применять только автоматически, чтобы сделать полезные выводы для повышения безопасности системы. Наоборот, аналитики в ходе своей работы сталкиваются с рядом проблем, и полезность их анализа во многом будет зависеть от того, как они приступят к их решению. Некоторые типичные проблемы, которые могут возникнуть, описаны ниже.
Понимание исследуемой системы и условий ее работы
Фундаментальными проблемами любого системного анализа безопасности являются определение изучаемой системы, ее ограничений и условий, в которых она должна работать на протяжении всего своего существования.
Если аналитик принимает во внимание слишком ограниченную подсистему, результатом может быть принятие ряда случайных превентивных мер (ситуация, в которой все направлено на предотвращение определенных типов событий, в то время как не менее серьезные опасности игнорируются или недооцениваются). ). Если, с другой стороны, рассматриваемая система является слишком всеобъемлющей или общей по отношению к данной проблеме, это может привести к чрезмерной расплывчатости концепции и ответственности, и анализ может не привести к принятию соответствующих превентивных мер.
Типичным примером, иллюстрирующим проблему определения изучаемой системы, является безопасность промышленных машин или установок. В такой ситуации у аналитика может возникнуть соблазн рассмотреть только фактическое оборудование, упуская из виду тот факт, что оно должно эксплуатироваться или контролироваться одним или несколькими людьми. Упрощение такого рода иногда допустимо. Однако необходимо анализировать не только машинную подсистему, но и всю систему «рабочий плюс машина» на различных этапах жизненного цикла оборудования (включая, например, транспортировку и погрузочно-разгрузочные работы, сборку, испытания и настройку, нормальную эксплуатацию). , техническое обслуживание, разборка и, в некоторых случаях, уничтожение). На каждом этапе машина является частью определенной системы, назначение и режимы функционирования и неисправности которой совершенно отличны от таковых у системы на других этапах. Поэтому он должен быть спроектирован и изготовлен таким образом, чтобы обеспечить выполнение требуемой функции в хороших условиях безопасности на каждом из этапов.
В более общем плане, что касается исследований безопасности на предприятиях, существует несколько системных уровней: машина, рабочее место, смена, отдел, фабрика и фирма в целом. В зависимости от того, какой системный уровень рассматривается, возможные типы дисфункции и соответствующие превентивные меры весьма различны. Хорошая профилактическая политика должна учитывать дисфункции, которые могут возникать на различных уровнях.
Условия работы системы могут быть определены с точки зрения того, как система должна функционировать, и условий окружающей среды, которым она может подвергаться. Это определение должно быть достаточно реалистичным, чтобы учитывать фактические условия, в которых, вероятно, будет работать система. Система, которая очень безопасна только в очень ограниченном рабочем диапазоне, может быть не такой безопасной, если пользователь не может удержаться в предписанном теоретическом рабочем диапазоне. Таким образом, безопасная система должна быть достаточно надежной, чтобы выдерживать разумные изменения условий, в которых она функционирует, и должна допускать определенные простые, но предсказуемые ошибки со стороны операторов.
Моделирование системы
Часто бывает необходимо разработать модель для анализа безопасности системы. Это может вызвать определенные проблемы, которые стоит изучить.
Для краткой и относительно простой системы, такой как обычная машина, модель почти напрямую выводится из описания материальных компонентов и их функций (двигатели, трансмиссия и т. д.), а также того, как эти компоненты взаимосвязаны. Количество возможных режимов отказа компонентов также ограничено.
Особую проблему представляют современные машины, такие как компьютеры и роботы, которые содержат сложные компоненты, такие как микропроцессоры и электронные схемы с очень большой степенью интеграции. Эта проблема не была полностью решена ни с точки зрения моделирования, ни с точки зрения прогнозирования различных возможных режимов отказа, поскольку в каждом кристалле очень много элементарных транзисторов и из-за использования различных видов программного обеспечения.
Когда анализируемой системой является человеческая организация, интересная проблема, возникающая при моделировании, заключается в выборе и определении определенных нематериальных или не полностью материальных компонентов. Конкретная рабочая станция может быть представлена, например, системой, включающей рабочих, программное обеспечение, задачи, машины, материалы и среду. (Компонент «задача» может оказаться трудным для определения, поскольку учитывается не предписанная задача, а задача в том виде, в каком она фактически выполняется).
При моделировании человеческих организаций аналитик может решить разбить рассматриваемую систему на информационную подсистему и одну или несколько подсистем действий. Анализ сбоев на различных этапах информационной подсистемы (сбор, передача, обработка и использование информации) может быть весьма поучительным.
Проблемы, связанные с несколькими уровнями анализа
Проблемы, связанные с многоуровневым анализом, часто возникают из-за того, что, начиная с нежелательного события, аналитик может возвращаться к событиям, которые становятся все более и более отдаленными во времени. В зависимости от рассматриваемого уровня анализа характер возникающих дисфункций различается; то же самое относится и к профилактическим мерам. Важно иметь возможность решить, на каком уровне следует прекратить анализ и на каком уровне следует предпринять превентивные действия. Примером может служить простой случай несчастного случая в результате механической неисправности, вызванной повторным использованием машины в ненормальных условиях. Это могло быть вызвано отсутствием обучения оператора или плохой организацией работы. В зависимости от рассматриваемого уровня анализа, необходимыми предупредительными действиями могут быть замена машины другой машиной, способной выдерживать более жесткие условия эксплуатации, использование машины только в нормальных условиях, изменения в обучении персонала или реорганизация предприятия. работай.
Эффективность и объем меры пресечения зависят от уровня, на котором она вводится. Превентивные действия в непосредственной близости от нежелательного явления, скорее всего, окажут прямое и быстрое воздействие, но их последствия могут быть ограниченными; с другой стороны, при анализе событий в разумной степени в обратном направлении можно будет найти типы дисфункций, которые являются общими для многочисленных несчастных случаев. Любое превентивное действие, предпринятое на этом уровне, будет гораздо шире по масштабу, но его эффективность может быть менее прямой.
Принимая во внимание, что существует несколько уровней анализа, может также существовать множество моделей превентивных действий, каждая из которых несет свою долю работы по предотвращению. Это чрезвычайно важный момент, и достаточно вернуться к рассматриваемому в настоящее время примеру несчастного случая, чтобы оценить этот факт. Предложение о замене машины другой машиной, способной выдерживать более суровые условия эксплуатации, возлагает на машину бремя предотвращения. Решение о том, что машину следует использовать только в нормальных условиях, означает возложение ответственности на пользователя. Таким же образом ответственность может быть возложена на обучение персонала, организацию работы или одновременно на машину, пользователя, функцию обучения и функцию организации.
На любом заданном уровне анализа несчастный случай часто оказывается следствием сочетания нескольких дисфункций или неадекватности. В зависимости от того, предпринимаются ли действия по одной или другой дисфункции или по нескольким одновременно, схема предпринятых профилактических действий будет различаться.
Инструменты настолько распространены в нашей жизни, что иногда трудно помнить, что они могут представлять опасность. Все инструменты производятся с учетом требований безопасности, но иногда может произойти несчастный случай до того, как будут обнаружены опасности, связанные с инструментом. Рабочие должны научиться распознавать опасности, связанные с различными типами инструментов, и меры предосторожности, необходимые для предотвращения этих опасностей. Следует надевать соответствующие средства индивидуальной защиты, такие как защитные очки или перчатки, для защиты от потенциальных опасностей, которые могут возникнуть при использовании портативных электроинструментов и ручных инструментов.
Ручной инструмент
Ручные инструменты не приводятся в действие и включают в себя все, от топоров до гаечных ключей. Наибольшие опасности, связанные с ручными инструментами, связаны с неправильным использованием, использованием неподходящего инструмента для работы и неправильным обслуживанием. Некоторые из опасностей, связанных с использованием ручных инструментов, включают, но не ограничиваются следующим:
Работодатель несет ответственность за безопасное состояние инструментов и оборудования, предоставленных работникам, но работники несут ответственность за надлежащее использование и обслуживание инструментов. Рабочие должны направлять пилы, ножи или другие инструменты подальше от проходов и других сотрудников, работающих в непосредственной близости. Ножи и ножницы должны быть острыми, так как тупые инструменты могут быть более опасными, чем острые. (См. рис. 1.)
Рисунок 1. Отвертка
Безопасность требует, чтобы полы были как можно более чистыми и сухими, чтобы предотвратить случайное скольжение при работе с опасными ручными инструментами или рядом с ними. Хотя искры, создаваемые ручными инструментами из железа и стали, обычно недостаточно горячие, чтобы стать источником воспламенения, при работе с легковоспламеняющимися материалами или вблизи них можно использовать искроустойчивые инструменты из латуни, пластика, алюминия или дерева, чтобы предотвратить образование искр.
Электроинструмент
Электроинструменты опасны при неправильном использовании. Существует несколько типов электроинструментов, обычно классифицируемых в зависимости от источника энергии (электрические, пневматические, жидкотопливные, гидравлические, паровые и взрывоопасные). Работники должны быть квалифицированы или обучены использованию всех электроинструментов, используемых в их работе. Они должны понимать потенциальные опасности, связанные с использованием электроинструментов, и соблюдать следующие общие меры предосторожности для предотвращения таких опасностей:
Защитные ограждения
Опасные движущиеся части электроинструмента должны быть защищены. Например, ремни, зубчатые колеса, валы, шкивы, звездочки, шпиндели, барабаны, маховики, цепи или другие возвратно-поступательные, вращающиеся или движущиеся части оборудования должны быть ограждены, если рабочие контактируют с такими частями. При необходимости должны быть предусмотрены ограждения для защиты оператора и других лиц от опасностей, связанных с:
Защитные ограждения никогда не должны сниматься во время использования инструмента. Например, переносные циркулярные пилы должны быть оснащены защитными кожухами. Верхняя защита должна закрывать весь диск пилы. Выдвижной нижний защитный кожух должен закрывать зубья пилы, за исключением случаев, когда он соприкасается с обрабатываемым материалом. Нижний защитный кожух должен автоматически возвращаться в закрывающее положение, когда инструмент отводится от работы. Обратите внимание на защитные кожухи на изображении электропилы (рис. 2).
Рисунок 2. Циркулярная пила с защитным кожухом
Защитные выключатели и органы управления
Ниже приведены примеры ручных электроинструментов, которые должны быть оборудованы выключателем мгновенного действия «вкл./выкл.»:
Эти инструменты также могут быть оснащены блокирующим управлением при условии, что выключение может быть выполнено одним движением того же пальца или пальцев, которые его включают.
Следующие ручные электроинструменты могут быть оснащены только принудительным выключателем управления «вкл./выкл.»:
Другие ручные электроинструменты, которые должны быть оснащены реле постоянного давления, отключающим питание при сбросе давления, включают:
Электрические инструменты
Рабочие, использующие электроинструменты, должны знать о нескольких опасностях. Наиболее серьезным из них является возможность поражения электрическим током с последующими ожогами и легкими ударами током. При определенных условиях даже небольшое количество тока может привести к фибрилляции сердца, что может привести к смерти. Удар также может привести к падению рабочего с лестницы или других приподнятых рабочих поверхностей.
Чтобы снизить вероятность травмирования рабочих электрическим током, инструменты должны быть защищены по крайней мере одним из следующих способов:
При использовании электроинструментов следует соблюдать следующие общие правила техники безопасности:
Абразивные круги с электроприводом
Абразивные шлифовальные, отрезные, полировальные и полировальные круги с механическим приводом создают особые проблемы с безопасностью, поскольку круги могут разрушаться и отбрасывать осколки.
Перед установкой абразивных кругов их следует внимательно осмотреть и проверить на звук (или кольцо) путем легкого постукивания легким неметаллическим инструментом, чтобы убедиться в отсутствии трещин или дефектов. Если колеса треснули или заглохли, они могут разлететься во время работы и не должны использоваться. Исправный и неповрежденный руль даст чистый металлический тон или «звон».
Чтобы колесо не треснуло, пользователь должен убедиться, что оно свободно садится на шпиндель. Гайка шпинделя должна быть затянута достаточно, чтобы удерживать колесо на месте, не деформируя фланец. Следуйте рекомендациям производителя. Необходимо следить за тем, чтобы шпиндельный круг не превышал спецификации абразивного круга. Из-за возможности распада (взрыва) колеса во время запуска рабочий никогда не должен стоять прямо перед колесом, когда оно разгоняется до полной рабочей скорости. Переносные шлифовальные инструменты необходимо оборудовать защитными ограждениями, чтобы защитить рабочих не только от поверхности движущегося круга, но и от разлетающихся осколков в случае поломки. Кроме того, при использовании электрошлифовальной машины следует соблюдать следующие меры предосторожности:
Пневмоинструмент
Пневматические инструменты работают на сжатом воздухе и включают рубильные машины, дрели, молотки и шлифовальные машины. Хотя существует несколько потенциальных опасностей, возникающих при использовании пневматических инструментов, основной из них является опасность удара одним из приспособлений инструмента или какой-либо застежкой, которую рабочий использует с инструментом. При работе с пневматическими инструментами требуется защита глаз и рекомендуется защита лица. Шум – еще одна опасность. Работа с шумными инструментами, такими как отбойные молотки, требует надлежащего и эффективного использования соответствующих средств защиты органов слуха.
При использовании пневматического инструмента рабочий должен убедиться, что он надежно закреплен на шланге, чтобы предотвратить отсоединение. Короткий провод или фиксирующее устройство, прикрепляющее воздушный шланг к инструменту, послужит дополнительной защитой. Если воздушный шланг имеет диаметр более ½ дюйма (1.27 см), на источнике подачи воздуха должен быть установлен предохранительный перепускной клапан для автоматического перекрытия подачи воздуха в случае разрыва шланга. В целом, с воздушным шлангом следует соблюдать те же меры предосторожности, которые рекомендуются для электрических шнуров, потому что шланг подвержен таким же повреждениям или случайным ударам, а также представляет опасность споткнуться.
Пневматические пистолеты ни в коем случае нельзя направлять ни на кого. Рабочие никогда не должны «запирать» насадку против себя или кого-либо еще. Следует установить предохранительную скобу или фиксатор, чтобы предотвратить непреднамеренное выпадение из ствола насадок, таких как долото на отбойном молотке. Должны быть установлены экраны, чтобы защитить находящихся рядом рабочих от ударов осколками, летящими вокруг измельчителей, клепальных пистолетов, пневматических молотков, степлеров или пневматических дрелей.
Безвоздушные распылители, которые распыляют краски и жидкости под высоким давлением (1,000 фунтов или более на квадратный дюйм), должны быть оснащены автоматическими или ручными визуальными предохранительными устройствами, которые предотвращают активацию до тех пор, пока предохранительное устройство не будет снято вручную. Тяжелые отбойные молотки могут вызывать усталость и напряжения, которые можно уменьшить, используя тяжелые резиновые рукоятки, обеспечивающие надежный захват рукой. Рабочий, работающий с отбойным молотком, должен носить защитные очки и защитную обувь для защиты от травм в случае соскальзывания или падения молота. Также следует использовать лицевой щиток.
Топливные инструменты
Инструменты, работающие на топливе, обычно работают с небольшими бензиновыми двигателями внутреннего сгорания. Наиболее серьезная потенциальная опасность, связанная с использованием инструментов, работающих на топливе, исходит от опасных паров топлива, которые могут гореть или взрываться и выделять опасные выхлопные газы. Рабочий должен соблюдать осторожность при обращении, транспортировке и хранении бензина или топлива только в утвержденных емкостях для легковоспламеняющихся жидкостей в соответствии с надлежащими процедурами для легковоспламеняющихся жидкостей. Перед заправкой бака топливного инструмента пользователь должен заглушить двигатель и дать ему остыть, чтобы предотвратить случайное возгорание опасных паров. Если в закрытом помещении используется инструмент, работающий на топливе, необходима эффективная вентиляция и/или защитное оборудование для предотвращения воздействия угарного газа. На территории должны быть огнетушители.
Взрывные пороховые инструменты
Взрывные пороховые инструменты действуют как заряженное ружье, и с ними следует обращаться с таким же уважением и мерами предосторожности. На самом деле они настолько опасны, что эксплуатировать их должны только специально обученные или квалифицированные работники. При использовании порохового инструмента необходима подходящая защита органов слуха, глаз и лица. Все пороховые инструменты должны быть рассчитаны на различные заряды пороха, чтобы пользователь мог выбрать уровень пороха, необходимый для выполнения работы, без чрезмерного усилия.
На дульном конце инструмента должен быть защитный щиток или ограждение, центрированное перпендикулярно стволу, чтобы защитить пользователя от любых летящих осколков или частиц, которые могут создать опасность при выстреле из инструмента. Инструмент должен быть сконструирован таким образом, чтобы он не срабатывал, если на нем нет такого предохранительного устройства. Чтобы предотвратить случайное срабатывание инструмента, для стрельбы требуются два отдельных движения: одно, чтобы привести инструмент в нужное положение, и другое, чтобы нажать на спусковой крючок. Инструменты не должны работать до тех пор, пока они не будут прижаты к рабочей поверхности с силой, по крайней мере, на 5 фунтов превышающей общий вес инструмента.
Если пороховой инструмент дает осечку, пользователь должен подождать не менее 30 секунд, прежде чем пытаться снова выстрелить. Если он по-прежнему не выстрелит, пользователь должен подождать еще как минимум 30 секунд, чтобы неисправный патрон с меньшей вероятностью взорвался, а затем осторожно снять заряд. Неисправный картридж следует погрузить в воду или безопасно утилизировать иным образом в соответствии с процедурами работодателя.
Если в пороховом инструменте возникает дефект во время использования, его следует пометить и немедленно вывести из эксплуатации до тех пор, пока он не будет должным образом отремонтирован. Меры предосторожности для безопасного использования и обращения с пороховыми инструментами включают следующее:
При использовании пороховых инструментов для установки крепежных изделий необходимо учитывать следующие меры предосторожности:
Гидравлические электроинструменты
Жидкость, используемая в гидравлических силовых инструментах, должна быть одобрена для предполагаемого использования и должна сохранять свои рабочие характеристики при самых экстремальных температурах, которым она будет подвергаться. Рекомендуемое производителем безопасное рабочее давление для шлангов, клапанов, труб, фильтров и других фитингов не должно превышаться. Там, где существует вероятность утечки под высоким давлением в зоне, где могут присутствовать источники воспламенения, такие как открытый огонь или горячие поверхности, следует рассмотреть возможность использования огнестойких жидкостей в качестве гидравлической среды.
Jacks
Все домкраты — рычажные и храповые, винтовые и гидравлические — должны иметь устройство, предотвращающее их подъем слишком высоко. Предельная нагрузка, указанная производителем, должна быть постоянно отмечена на видном месте домкрата и не должна превышаться. При необходимости используйте деревянный брусок под основанием, чтобы выровнять и закрепить домкрат. Если поверхность подъемника металлическая, поместите брусок из твердых пород дерева толщиной 1 дюйм (2.54 см) или аналогичный материал между нижней стороной поверхности и металлической головкой домкрата, чтобы уменьшить опасность соскальзывания. Никогда не используйте домкрат для поддержки поднятого груза. После подъема груза его следует немедленно закрепить блоками.
Для установки домкрата убедитесь в соблюдении следующих условий:
Надлежащее техническое обслуживание домкратов необходимо для обеспечения безопасности. Все домкраты необходимо проверять перед каждым использованием и регулярно смазывать. Если домкрат подвергается ненормальной нагрузке или удару, его следует тщательно осмотреть, чтобы убедиться, что он не поврежден. Гидравлические домкраты, подвергающиеся воздействию отрицательных температур, должны быть заполнены соответствующей антифризной жидкостью.
Итого
Рабочие, использующие ручные и механические инструменты и подвергающиеся опасности падающих, отлетающих, абразивных и разбрызгивающих предметов и материалов, а также опасностям вредной пыли, дыма, тумана, паров или газов, должны быть обеспечены соответствующими необходимыми средствами индивидуальной защиты. для защиты их от опасности. Рабочие могут предотвратить все опасности, связанные с использованием электроинструментов, соблюдая пять основных правил безопасности:
Работники и работодатели несут ответственность за совместную работу по соблюдению установленных безопасных методов работы. При обнаружении небезопасного инструмента или опасной ситуации об этом следует немедленно довести до сведения соответствующего лица.
В данной статье рассматриваются ситуации и цепочки событий, приводящие к несчастным случаям, связанным с контактом с движущейся частью машин. Люди, которые управляют и обслуживают машины, рискуют попасть в серьезную аварию. Статистические данные США показывают, что 18,000 800 ампутаций и более 1979 смертельных исходов в Соединенных Штатах каждый год связаны с такими причинами. Согласно Национальному институту безопасности и гигиены труда США (NIOSH), в 1990 г. категория травм «получил внутри, под или между» занимала самое высокое место среди наиболее важных видов профессиональных травм. Такие травмы, как правило, связаны с машинами ( Этертон и Майерс, 10). «Контакт с движущейся частью машины» был зарегистрирован как основной случай травмы в более чем 1979% несчастных случаев на производстве с тех пор, как эта категория была введена в шведскую статистику производственного травматизма в XNUMX году.
Большинство машин имеют движущиеся части, которые могут привести к травме. Такие движущиеся части могут находиться в точке операции, где выполняется работа с материалом, например, там, где происходит резка, формование, сверление или деформация. Их можно найти в аппаратах, которые передают энергию частям машины, выполняющим работу, например, в маховиках, шкивах, шатунах, муфтах, кулачках, шпинделях, цепях, кривошипах и шестернях. Их можно найти в других движущихся частях машины, таких как колеса мобильного оборудования, мотор-редукторы, насосы, компрессоры и т. д. Опасные движения машин также могут быть обнаружены среди других видов машин, особенно во вспомогательном оборудовании, которое обрабатывает и транспортирует такие грузы, как заготовки, материалы, отходы или инструменты.
Все части машины, которые движутся в процессе выполнения работы, могут способствовать несчастным случаям, приводящим к травмам и повреждениям. Как вращательные, так и прямолинейные движения машин, а также их источники энергии могут быть опасны:
Вращательное движение. Даже гладкие вращающиеся валы могут захватить предмет одежды и, например, привести руку человека в опасное положение. Опасность вращающегося вала возрастает, если он имеет выступающие части или неровные или острые поверхности, такие как регулировочные винты, болты, прорези, выемки или режущие кромки. Вращающиеся детали машин создают «точки защемления» тремя различными способами:
Линейные движения. Вертикальные, горизонтальные и возвратно-поступательные движения могут привести к травме несколькими способами: человек может получить толчок или удар частью машины, может быть зажат между частью машины и каким-либо другим предметом, может порезаться острым краем или удержаться. травма от защемления в результате захвата между движущейся частью и другим предметом (рис. 1).
Рисунок 1. Примеры механических движений, которые могут травмировать человека
Источники питания. Часто для работы машины используются внешние источники энергии, которые могут потреблять значительное количество энергии. К ним относятся электрические, паровые, гидравлические, пневматические и механические силовые системы, все из которых, если их высвободить или не контролировать, могут привести к серьезным травмам или повреждениям. Исследование несчастных случаев, произошедших в течение одного года (с 1987 по 1988 год) среди фермеров в девяти деревнях на севере Индии, показало, что машины для измельчения кормов, в остальном одинаковой конструкции, более опасны, если они приводятся в действие двигателем или трактором. Относительная частота несчастных случаев с более чем легкими травмами (на машину) составила 5.1 на тысячу для ручных резаков и 8.6 на тысячу для механических резаков (Mohan and Patel 1992).
Травмы, связанные с движением машин
Поскольку силы, связанные с движениями машин, часто довольно велики, можно предположить, что травмы, которые они вызывают, будут серьезными. Это предположение подтверждается несколькими источниками. Согласно британской статистике, на «контакт с движущимися механизмами или обрабатываемым материалом» приходится лишь 5% всех несчастных случаев на производстве, но до 10% несчастных случаев со смертельным исходом и серьезных травм (переломы, ампутации и т. д.) (HSE 1989). Исследования двух предприятий по производству автомобилей в Швеции указывают на то же направление. Несчастные случаи, вызванные движением машин, привели к удвоению числа дней отпуска по болезни, измеряемому средними значениями, по сравнению с несчастными случаями, не связанными с машинами. Несчастные случаи с участием машин также отличались от других несчастных случаев в отношении травмированных частей тела: результаты показали, что 80% травм, полученных в результате несчастных случаев с машинами, были нанесены на руки и пальцы, в то время как соответствующая доля травм при «других» несчастных случаях была 40% (Backström and Döös, 1995).
Ситуация риска на автоматизированных установках оказалась как иной (по типу аварии, последовательности событий и степени тяжести травм), так и более сложной (как в техническом плане, так и в отношении необходимости специальных навыков), чем на установки, в которых используется обычное оборудование. Срок автоматизированный здесь подразумевается оборудование, которое без непосредственного вмешательства человека может либо инициировать движение машины, либо изменить его направление или функцию. Для такого оборудования требуются сенсорные устройства (например, датчики положения или микропереключатели) и/или некоторая форма последовательного управления (например, компьютерная программа) для управления и контроля их действий. За последние десятилетия а Программируемый логический контроллер (ПЛК) все чаще используется в качестве блока управления в производственных системах. Небольшие компьютеры в настоящее время являются наиболее распространенным средством управления производственным оборудованием в промышленно развитых странах, в то время как другие средства управления, такие как электромеханические устройства, становятся все менее и менее распространенными. В шведской обрабатывающей промышленности использование станков с числовым программным управлением (ЧПУ) увеличивалось на 11–12 % в год в течение 1980-х годов (Hörte and Lindberg, 1989). В современном промышленном производстве получение травм от «движущихся частей машин» все больше становится эквивалентным травме от «движений машин, управляемых компьютером».
Автоматизированные установки встречаются во все большем количестве отраслей промышленности, и они имеют все большее количество функций. Управление складами, обработка материалов, обработка, сборка и упаковка — все автоматизировано. Серийное производство стало напоминать серийное производство. Если подача, обработка и выталкивание заготовок механизированы, оператору больше не нужно находиться в зоне риска в ходе обычного бесперебойного производства. Научные исследования автоматизированного производства показали, что несчастные случаи происходят в первую очередь при устранении нарушений, влияющих на производство. Однако люди также могут мешать движению машины при выполнении других задач, таких как очистка, регулировка, сброс, контроль и ремонт.
Когда производство автоматизировано и процесс больше не находится под непосредственным контролем человека, возрастает риск непредвиденных движений машины. Большинство операторов, работающих с группами или линиями взаимосвязанных машин, сталкивались с такими неожиданными перемещениями машин. Много несчастные случаи с автоматикой возникают в результате именно таких движений. Аварией, связанной с автоматизацией, является авария, при которой автоматическое оборудование контролировало (или должно было контролировать) энергию, вызвавшую травму. Это означает, что сила, причиняющая вред человеку, исходит от самой машины (например, энергия движения машины). При изучении 177 несчастных случаев, связанных с автоматикой в Швеции, было установлено, что травмы были вызваны «неожиданным запуском» части машины в 84% случаев (Backström and Harms-Ringdahl, 1984). Типичный пример травмы, вызванной движением машины, управляемой компьютером, показан на рисунке 2.
Рисунок 2. Типичный пример травмы, вызванной движением машины, управляемой компьютером
Одно из исследований, упомянутых выше (Backström and Döös, 1995), показало, что автоматически управляемые движения машин были причинно связаны с более длительными периодами отпуска по болезни, чем с травмами, вызванными другими видами движений машин, при этом медианное значение было в четыре раза выше на одном из рабочих мест. . Характер травм при авариях, связанных с автоматикой, был аналогичен таковому при других авариях с машинами (в основном с участием рук и пальцев), но прежние виды травм имели тенденцию быть более серьезными (ампутации, раздавливания и переломы).
Компьютерное управление, как и ручное, имеет слабые места с точки зрения надежности. Нет никакой гарантии, что компьютерная программа будет работать без ошибок. Электроника с низким уровнем сигнала может быть чувствительна к помехам, если она не защищена должным образом, и последствия возникающих отказов не всегда можно предсказать. Кроме того, программные изменения часто остаются недокументированными. Одним из методов, используемых для компенсации этой слабости, является, например, эксплуатация «двойных» систем, в которых есть две независимые цепочки функциональных компонентов, и метод мониторинга, при котором обе цепочки отображают одно и то же значение. Если системы отображают разные значения, это указывает на сбой в одной из них. Но существует вероятность того, что обе цепи компонентов могут страдать от одной и той же неисправности и что они обе могут быть выведены из строя одним и тем же возмущением, тем самым давая ложноположительные показания (поскольку обе системы согласны). Однако лишь в нескольких исследованных случаях удалось связать аварию с отказом компьютера (см. ниже), несмотря на то, что обычно один компьютер управляет всеми функциями установки (даже остановкой машина в результате срабатывания защитного устройства). В качестве альтернативы можно рассмотреть вопрос о предоставлении испытанной системы с электромеханическими компонентами для функций безопасности.
Технические проблемы
В целом можно сказать, что одна авария имеет множество причин, в том числе технических, индивидуальных, экологических и организационных. В профилактических целях аварию лучше всего рассматривать не как изолированное событие, а как последовательность событий или процесса (Backström 1996). В случае автоматических аварий было показано, что технические проблемы часто являются частью такой последовательности и возникают либо на одной из ранних стадий процесса, либо в непосредственной близости от травмоопасного события аварии. Исследования, в которых изучались технические проблемы, связанные с авариями, связанными с автоматизацией, показывают, что они являются причиной от 75 до 85% аварий. В то же время в каждом конкретном случае обычно имеют место и другие причины, например, организационного характера. Лишь в десятой части случаев установлено, что непосредственным источником энергии, вызывающей травму, может быть техническая неисправность, например, движение машины, происходящее, несмотря на то, что машина находится в положении остановки. Аналогичные цифры были получены и в других исследованиях. Обычно техническая проблема приводила к проблемам с оборудованием, так что оператору приходилось переключать задачи (например, переустанавливать деталь, находившуюся в кривом положении). Авария тогда произошла во время выполнения задачи, вызванной техническим сбоем. Четверти аварий автоматизации предшествовало нарушение потока материалов, например, застревание детали, ее кривое или иное неправильное положение (см. рис. 3).
Рисунок 3. Типы технических проблем, связанных с авариями автоматизации (количество аварий = 127)
При изучении 127 несчастных случаев, связанных с автоматизацией, 28 из этих несчастных случаев, описанных на рис. 4, были дополнительно исследованы для определения типов технических проблем, которые были задействованы в качестве причинных факторов (Бакстрём и Дёёс, в печати). Проблемы, указанные в расследовании авиационных происшествий, чаще всего были вызваны заклиниванием, неисправностью или износом компонентов. В двух случаях проблема была вызвана ошибкой компьютерной программы, а в одном — электромагнитными помехами. Более чем в половине случаев (17 из 28) неисправности существовали в течение некоторого времени, но не были устранены. Только в 5 из 28 случаев, когда упоминалась техническая неисправность или отклонение, дефект был обнаружен. проявлялось ранее. Некоторые неисправности были устранены только для того, чтобы снова появиться позже. Одни дефекты присутствовали с момента установки, другие возникли в результате износа и воздействия окружающей среды.
Доля аварий автоматики, происходящих при устранении нарушений в производстве, составляет, по данным большинства исследований, от одной трети до двух третей всех случаев. Другими словами, существует общее мнение, что устранение производственных нарушений является опасной профессиональной задачей. Различия в степени возникновения таких несчастных случаев имеют множество объяснений, в том числе связанные с типом производства и классификацией профессиональных задач. В некоторых исследованиях возмущений рассматривались только проблемы и остановки машин в ходе нормального производства; в других рассматривался более широкий круг проблем, например, связанных с организацией работы.
Очень важным мероприятием по предупреждению аварий автоматики является подготовка процедур по устранению причин производственных нарушений с тем, чтобы они не повторялись. В специальном исследовании производственных нарушений во время несчастного случая (Döös and Backström 1994) было обнаружено, что наиболее распространенной задачей, которую вызывали нарушения, было освобождение или исправление положения заготовки, которая застряла или неправильно застряла. размещен. Этот тип проблемы инициировал одну из двух довольно похожих последовательностей событий: (1) деталь была освобождена и заняла правильное положение, машина получила автоматический сигнал на запуск, и человек был ранен в результате инициированного движения машины, (2 ) не было времени, чтобы часть освободилась или переместилась, прежде чем человек получил травму в результате движения машины, которое произошло неожиданно, быстрее или имело большую силу, чем ожидал оператор. Другие действия по устранению неполадок включали подачу импульса датчика, освобождение застрявшей части машины, поиск простых неисправностей и организацию перезапуска (см. рис. 4).
Рисунок 4. Тип обработки возмущений во время аварии (количество аварий =76)
Безопасность рабочих
Категории персонала, склонные к травматизму при авариях автоматики, зависят от того, как организована работа, т. е. от того, какая профессиональная группа выполняет опасные работы. На практике это вопрос того, какое лицо на рабочем месте назначается для решения проблем и нарушений на регулярной основе. В современной шведской промышленности обычно требуется активное вмешательство людей, управляющих машиной. Вот почему в ранее упомянутом исследовании на производстве транспортных средств в Швеции (Backström and Döös, принято к публикации) было обнаружено, что 82% людей, получивших травмы от автоматических машин, были производственными рабочими или операторами. У операторов также была более высокая относительная частота несчастных случаев (15 несчастных случаев с автоматикой на 1,000 операторов в год), чем у ремонтников (6 на 1,000). Результаты исследований, указывающие на то, что ремонтные работники страдают больше, по крайней мере, частично объясняются тем фактом, что операторам не разрешается входить в зоны механической обработки на некоторых предприятиях. В организациях с другим типом распределения задач другим категориям персонала, например, наладчикам, может быть поручено решение любых возникающих производственных задач.
Наиболее распространенной корректирующей мерой, принимаемой в этой связи для повышения уровня личной безопасности, является защита человека от опасных движений машины с помощью какого-либо предохранительного устройства, такого как ограждение машины. Основным принципом здесь является принцип «пассивной» безопасности, т. е. обеспечения защиты, не требующей действий со стороны работника. Однако невозможно судить об эффективности защитных устройств без очень хорошего знакомства с фактическими требованиями к работе на рассматриваемой машине, форма знаний, которой обычно обладают только сами операторы машин.
Есть много факторов, которые могут вывести из строя даже то, что на первый взгляд является хорошей защитой машины. Для выполнения своей работы операторам может потребоваться отключить предохранительное устройство или обойти его. В одном исследовании (Döös and Backström 1993) было обнаружено, что такое отключение или обход имели место в 12 из 75 охваченных аварий с автоматизацией. Часто это связано с амбициозностью оператора и его нежеланием мириться ни с производственными проблемами, ни с задержкой производственного процесса, связанными с исправлением нарушений в соответствии с инструкциями. Один из способов избежать этой проблемы — сделать защитное устройство незаметным, чтобы оно не влияло на темпы производства, качество продукции или выполнение поставленных задач. Но это не всегда возможно; а при повторяющихся нарушениях производства даже незначительные неудобства могут побудить людей не использовать предохранительные устройства. Опять же, должны быть доступны процедуры для устранения причин производственных нарушений, чтобы они не повторялись. Отсутствие средств подтверждения того, что устройства безопасности действительно функционируют в соответствии со спецификациями, является еще одним значительным фактором риска. Неисправные соединения, пусковые сигналы, которые остаются в системе и впоследствии приводят к неожиданным пускам, повышение давления воздуха и отсоединение датчиков могут привести к выходу из строя защитного оборудования.
Итого
Как было показано, технические решения проблем могут порождать новые проблемы. Хотя травмы вызываются движениями машин, которые по своей сути носят технический характер, это не означает автоматически, что возможность их искоренения кроется в чисто технических факторах. Технические системы будут продолжать давать сбои, и люди не смогут справиться с ситуациями, которые порождают эти сбои. Риски будут по-прежнему существовать, и их можно контролировать только с помощью самых разнообразных средств. Законодательство и контроль, организационные меры в отдельных компаниях (в форме обучения, проверок безопасности, анализа рисков и сообщений о нарушениях и близких к авариям), а также упор на постоянные, непрерывные улучшения - все это необходимо в качестве дополнения к чисто техническому развитию.
Кажется, что существует столько же потенциальных опасностей, создаваемых движущимися частями машин, сколько существует различных типов машин. Меры предосторожности необходимы для защиты работников от ненужных и предотвратимых травм, связанных с оборудованием. Поэтому любая часть машины, функция или процесс, которые могут привести к травмам, должны быть защищены. Там, где работа машины или случайный контакт с ней могут нанести травму оператору или другим лицам, находящимся поблизости, опасность необходимо либо контролировать, либо устранять.
Механические движения и действия
Механические опасности обычно связаны с опасными движущимися частями в следующих трех основных областях:
Широкий спектр механических движений и действий, которые могут представлять опасность для рабочих, включает в себя движение вращающихся элементов, возвратно-поступательных движений, движущихся ремней, зубчатых зацеплений, режущих зубьев и любых частей, которые ударяются или срезают. Эти различные типы механических движений и действий являются основными практически для всех машин, и их распознавание является первым шагом к защите рабочих от опасностей, которые они могут представлять.
Предложения
Различают три основных типа движения: вращательное, возвратно-поступательное и поперечное.
Вращательное движение может быть опасным; даже гладкие, медленно вращающиеся валы могут зажать одежду и привести руку или кисть в опасное положение. Травмы из-за контакта с вращающимися частями могут быть серьезными (см. рис. 1).
Рисунок 1. Механический штамповочный пресс
Втулки, муфты, кулачки, муфты, маховики, концы валов, шпиндели и горизонтальные или вертикальные валы являются некоторыми примерами обычных вращающихся механизмов, которые могут быть опасными. Существует дополнительная опасность, когда болты, зазубрины, потертости и выступающие шпонки или установочные винты находятся на вращающихся частях машин, как показано на рис. 2.
Рисунок 2. Примеры опасных выступов на вращающихся частях
Контрольная точка в бегеs создаются вращающимися частями машин. Существует три основных типа точек захвата во время бега:
Рис. 3. Общие точки захвата на вращающихся деталях
Рис. 4. Точки зажима между вращающимися элементами и деталями с продольными перемещениями
Рис. 5. Точки зажима между вращающимися компонентами машины
Возвратно-поступательные движения может быть опасным, потому что во время движения вперед-назад или вверх-вниз рабочий может быть поражен или зажат между движущейся частью и неподвижной частью. Пример показан на рисунке 6.
Рисунок 6. Опасное возвратно-поступательное движение
Поперечное движение (движение по прямой, непрерывной линии) создает опасность, поскольку рабочий может быть защемлен или защемлен движущейся частью. Пример поперечного движения показан на рисунке 7.
Рисунок 7. Пример поперечного движения
Действия
Существует четыре основных типа действия: резка, пробивка, резка и изгибание.
Режущее действие включает в себя вращательное, возвратно-поступательное или поперечное движение. Режущее действие создает опасность в месте работы, когда могут быть травмированы пальцы, голова и рука, а летящие стружки или обрезки материала могут попасть в глаза или лицо. Типичными примерами машин с опасностью пореза являются ленточные пилы, циркулярные пилы, расточные или сверлильные станки, токарные станки (токарные станки) и фрезерные станки. (См. рис. 8.)
Рисунок 8. Примеры опасности пореза
Ударное действие возникает при приложении силы к ползуну (ползунку) с целью вырубки, волочения или штамповки металла или других материалов. Опасность этого типа действия возникает в момент операции, когда приклад вставляется, удерживается и извлекается вручную. Типичными машинами, в которых используется пробивное действие, являются силовые прессы и железоделательные станки. (См. рис. 9.)
Рисунок 9. Типичная операция пробивки отверстий
Режущее действие включает в себя приложение силы к слайду или ножу для обрезки или резки металла или других материалов. Опасность возникает в точке операции, где заготовка фактически вставляется, удерживается и извлекается. Типичными примерами машин, используемых для резки, являются ножницы с механическим, гидравлическим или пневматическим приводом. (См. рис. 10.)
Рисунок 10. Операция стрижки
Изгибающее действие возникает, когда к слайду прикладывается сила для придания формы, волочения или штамповки металла или других материалов. Опасность возникает в момент операции, когда приклад вставляется, удерживается и извлекается. К оборудованию, использующему гибочное действие, относятся силовые прессы, листогибочные прессы и трубогибочные станки. (См. рис. 11.)
Рисунок 11. Операция гибки
Требования к гарантиям
Меры предосторожности должны соответствовать следующим минимальным общим требованиям для защиты работников от механических опасностей:
Предотвратить контакт. Меры предосторожности должны предотвращать контакт рук, рук или любой части тела или одежды рабочего с опасными движущимися частями, исключая возможность того, что операторы или другие рабочие поместят части своего тела рядом с опасными движущимися частями.
Обеспечьте безопасность. Рабочие не должны иметь возможности легко снимать или вмешиваться в защиту. Ограждения и предохранительные устройства должны быть изготовлены из прочного материала, который выдержит условия нормального использования и надежно закреплен на машине.
Защищайтесь от падающих предметов. Меры предосторожности должны гарантировать, что никакие предметы не могут упасть на движущиеся части и повредить оборудование или превратиться в снаряд, который может ударить кого-либо и нанести травму.
Не создавать новых опасностей. Защита теряет свою цель, если она создает собственную опасность, такую как точка сдвига, зазубренный край или необработанная поверхность. Края ограждений, например, должны быть завальцованы или скреплены болтами таким образом, чтобы исключить острые края.
Не создавать помех. Меры предосторожности, которые мешают работникам выполнять свою работу, вскоре могут быть отменены или проигнорированы. По возможности рабочие должны иметь возможность смазывать машины, не отсоединяя и не снимая предохранительные устройства. Например, расположение масляных резервуаров за пределами ограждения с линией, ведущей к точке смазки, уменьшит необходимость входа в опасную зону.
Обучение технике безопасности
Даже самая сложная система защиты не может обеспечить эффективную защиту, если работники не знают, как ее использовать и почему. Специальное и подробное обучение является важной частью любых усилий по обеспечению защиты от опасностей, связанных с машинами. Надлежащая защита может повысить производительность и повысить эффективность, поскольку она может уменьшить опасения рабочих по поводу травм. Обучение мерам безопасности необходимо для новых операторов и обслуживающего или наладочного персонала, когда вводятся в эксплуатацию какие-либо новые или измененные меры безопасности или когда рабочие назначаются на новую машину или операцию; она должна включать инструктаж или практическое обучение следующему:
Методы защиты машин
Есть много способов защитить технику. Тип операции, размер или форма заготовки, метод обработки, физическая планировка рабочей зоны, тип материала и производственные требования или ограничения помогут определить подходящий метод защиты для отдельной машины. Разработчик машин или специалист по технике безопасности должен выбрать наиболее эффективную и практичную защиту.
Гарантии можно разделить на пять основных категорий: (1) ограждения, (2) устройства, (3) разделение, (4) операции и (5) прочее.
Охрана с помощью охранников
Существует четыре основных типа ограждений (барьеров, препятствующих доступу в опасные зоны):
Фиксированная охрана. Неподвижный защитный кожух является постоянной частью машины и не зависит от движущихся частей для выполнения своей предполагаемой функции. Он может быть изготовлен из листового металла, экрана, проволочной сетки, стержней, пластика или любого другого материала, достаточно прочного, чтобы выдерживать любые удары, которые он может получить, и выдерживать длительное использование. Фиксированные ограждения обычно предпочтительнее всех других типов из-за их относительной простоты и постоянства (см. таблицу 1).
Таблица 1. Ограждения машины
Способ доставки |
Защитное действие |
Наши преимущества |
Ограничения |
Исправлена |
· Обеспечивает барьер |
· Подходит для многих конкретных приложений |
· Может мешать видимости |
Сблокированная |
· Отключает или отключает питание и предотвращает запуск машины, когда ограждение открыто; должен требовать остановки машины, прежде чем рабочий сможет проникнуть в опасную зону |
· Обеспечивает максимальную защиту |
· Требует тщательной настройки и обслуживания |
регулируемый |
· Обеспечивает барьер, который можно регулировать для облегчения различных производственных операций |
· Может быть сконструирован для многих конкретных применений |
· Оператор может войти в опасную зону: защита может быть не всегда полной |
Саморегулирующийся |
· Обеспечивает барьер, который перемещается в зависимости от размера груза, входящего в опасную зону |
· Готовые защитные кожухи имеются в продаже |
· Не всегда обеспечивает максимальную защиту |
На рис. 12 фиксированная защита силового пресса полностью закрывает место работы. Заготовка подается через боковое ограждение в зону штампа, а отходы выходят с противоположной стороны.
Рисунок 12. Фиксированная защита силового пресса
На рис. 13 изображена неподвижная защита кожуха, которая защищает ремень и шкив силовой передачи. Сверху имеется смотровая панель, чтобы свести к минимуму необходимость снятия защитного кожуха.
Рисунок 13. Неподвижное ограждение, закрывающее ремни и шкивы
На рис. 14 показаны неподвижные ограждения корпуса ленточной пилы. Эти ограждения защищают операторов от вращающихся колес и движущегося пильного диска. Обычно ограждения открываются или снимаются только для замены лезвия или для технического обслуживания. Очень важно, чтобы они были надежно закреплены во время использования пилы.
Рисунок 14. Фиксированные защитные кожухи на ленточной пиле
Сблокированные охранники. Когда заблокированные ограждения открываются или снимаются, расцепляющий механизм и/или питание автоматически отключаются или отключаются, и машина не может работать или запускаться до тех пор, пока защитное ограждение не вернется на место. Однако замена защитного ограждения не должна автоматически перезапускать машину. Защитные ограждения с блокировкой могут использовать электрическую, механическую, гидравлическую или пневматическую энергию или любую их комбинацию. Блокировки не должны препятствовать «медленному» (т. е. постепенному поступательному перемещению) с помощью дистанционного управления, если это необходимо.
Пример защитного ограждения показан на рис. 15. На этом рисунке ударный механизм сборочной машины (используемой в текстильной промышленности) закрыт защитным ограждением с блокировкой. Этот защитный кожух нельзя поднять во время работы машины, а также невозможно перезапустить машину, когда защитный кожух находится в поднятом положении.
Рисунок 15. Защитный кожух с блокировкой на сборочной машине
Регулируемые щитки. Регулируемые защитные кожухи обеспечивают гибкость при размещении различных размеров приклада. На рис. 16 показан регулируемый защитный кожух ленточной пилы.
Рисунок 16. Регулируемый защитный кожух на ленточной пиле
Саморегулирующиеся щитки. Отверстия саморегулирующихся кожухов определяются движением приклада. Когда оператор перемещает ложу в опасную зону, защитный кожух отодвигается, открывая достаточно большое отверстие, чтобы впустить только ложу. После снятия приклада защитный кожух возвращается в исходное положение. Это ограждение защищает оператора, создавая барьер между опасной зоной и оператором. Ограждения могут быть изготовлены из пластика, металла или другого прочного материала. Саморегулирующиеся защитные кожухи предлагают различные степени защиты.
На рис. 17 показана радиально-консольная пила с саморегулирующимся защитным кожухом. Когда лезвие проходит через ложу, защитный кожух поднимается, оставаясь в контакте с ложей.
Рисунок 17. Саморегулирующийся защитный кожух на радиально-консольной пиле
Защита с помощью устройств
Устройства безопасности могут остановить машину, если рука или какая-либо часть тела непреднамеренно окажется в опасной зоне, могут заблокировать или вывести руки оператора из опасной зоны во время работы, могут потребовать от оператора одновременного использования обеих рук на органах управления машиной ( таким образом защищая как руки, так и тело от опасности) или может обеспечить барьер, который синхронизирован с рабочим циклом машины, чтобы предотвратить проникновение в опасную зону во время опасной части цикла. Существует пять основных типов устройств безопасности, а именно:
Датчики присутствия
Ниже описаны три типа сенсорных устройств, которые останавливают машину или прерывают рабочий цикл или операцию, если рабочий находится в опасной зоне:
Команда фотоэлектрический (оптический) датчик присутствия использует систему источников света и средств управления, которые могут прервать рабочий цикл машины. Если световое поле нарушено, машина останавливается и не работает. Это устройство следует использовать только на машинах, которые можно остановить до того, как рабочий достигнет опасной зоны. На рис. 18 показано фотоэлектрическое устройство обнаружения присутствия, используемое с листогибочным прессом. Устройство можно поворачивать вверх или вниз в соответствии с различными производственными требованиями.
Рис. 18. Фотоэлектрический датчик присутствия на листогибочном прессе
Команда радиочастотный (емкостный) датчик присутствия использует радиолуч, который является частью схемы управления. Когда поле емкости нарушается, машина останавливается или не активируется. Это устройство следует использовать только на машинах, которые можно остановить до того, как рабочий сможет добраться до опасной зоны. Это требует, чтобы машина имела фрикционную муфту или другие надежные средства для остановки. На рис. 19 показано радиочастотное устройство обнаружения присутствия, установленное на неполнооборотном силовом прессе.
Рис. 19. Радиочастотный датчик присутствия на электропиле
Команда электромеханический датчик имеет датчик или контактный стержень, который опускается на заданное расстояние, когда оператор запускает машинный цикл. Если имеется препятствие, препятствующее его полному спуску на заданное расстояние, схема управления не запускает машинный цикл. На рис. 20 показано электромеханическое сенсорное устройство на петле. Также показан датчик, находящийся в контакте с пальцем оператора.
Рис. 20. Электромеханический датчик на букмекерской машине.
Откатные устройства
Устройства обратного хода используют ряд тросов, прикрепленных к рукам, запястьям и/или рукам оператора, и в основном используются на машинах с ходовым действием. Когда ползун/штанга подняты, оператору разрешен доступ к точке операции. Когда ползун/цилиндр начинает опускаться, механическое соединение автоматически обеспечивает удаление рук из точки операции. На рис. 21 показано устройство отвода на маленьком прессе.
Рис. 21. Отводное устройство силового пресса
Удерживающие устройства
В некоторых странах используются удерживающие устройства, в которых используются тросы или ремни, прикрепленные между фиксированной точкой и руками оператора. Эти устройства, как правило, не считаются приемлемыми средствами защиты, поскольку оператор может легко обойти их, что позволяет поместить руки в опасную зону. (См. таблицу 2.)
Таблица 2. Устройства
Способ доставки |
Защитное действие |
Наши преимущества |
Ограничения |
фотоэлектрический |
· Машина не начнет цикл, когда световое поле прервано |
· Может обеспечить более свободное передвижение оператора |
· Не защищает от механических повреждений |
Радиочастотный |
· Машинный цикл не запускается, когда поле емкости прерывается |
· Может обеспечить более свободное передвижение оператора |
· Не защищает от механических повреждений |
Электро-механический |
· Контактная планка или зонд перемещаются на заданное расстояние между оператором и опасной зоной |
· Может разрешить доступ в точке операции |
· Контактная планка или датчик должны быть правильно отрегулированы для каждого применения; эта регулировка должна поддерживаться должным образом |
Препятствие |
· Когда машина начинает работать, руки оператора убираются из опасной зоны. |
· Устраняет необходимость в дополнительных барьерах или других помехах в опасной зоне |
· Ограничивает движение оператора |
Органы управления защитным отключением: |
· Останавливает машину при срабатывании |
· Простота использования |
· Все элементы управления должны быть активированы вручную |
Двуручное управление |
· Требуется одновременное использование обеих рук, чтобы предотвратить попадание оператора в опасную зону |
· Руки оператора находятся в заданном месте вдали от опасной зоны |
· Требуется машина неполного цикла с тормозом |
Поездка в две руки |
· Одновременное использование двух рук на разных элементах управления предотвращает попадание рук в опасную зону при запуске машинного цикла |
· Руки оператора находятся вне опасной зоны |
· Оператор может попытаться проникнуть в опасную зону после отключения машины |
Клиновая задвижка |
· Обеспечивает барьер между опасной зоной и оператором или другим персоналом |
· Может предотвратить попадание в опасную зону или вход в нее |
· Может потребоваться частый осмотр и регулярное техническое обслуживание |
Устройства контроля безопасности
Все эти устройства управления безопасностью активируются вручную и должны быть сброшены вручную, чтобы перезапустить машину:
Рис. 22. Чувствительный к давлению корпус на резиновой мельнице
Рис. 23. Предохранительный стержень на резиновой мельнице.
Рис. 24. Страховочный трос на каландре
Рис. 25. Кнопки управления двумя руками на силовом прессе неполнооборотного сцепления
Рис. 26. Кнопки управления двумя руками на полнооборотном усилителе сцепления
Рисунок 27. Силовой жим с воротами
Охрана по местоположению или расстоянию
Для защиты машины по местоположению машина или ее опасные движущиеся части должны быть расположены таким образом, чтобы опасные зоны были недоступны или не представляли опасности для рабочего при нормальной работе машины. Это может быть достигнуто с помощью ограждающих стен или ограждений, которые ограничивают доступ к машинам, или путем размещения машины таким образом, чтобы элемент конструкции предприятия, такой как стена, защищал рабочего и другой персонал. Другая возможность заключается в том, чтобы опасные части располагались достаточно высоко, чтобы они были вне досягаемости любого рабочего. Тщательный анализ опасностей каждой машины и конкретной ситуации необходим, прежде чем пытаться использовать этот метод защиты. Упомянутые ниже примеры — это лишь некоторые из многочисленных применений принципа защиты по местоположению/расстоянию.
Процесс кормления. Процесс кормления может быть защищен по месту, если сохраняется безопасное расстояние для защиты рук работника. Размеры обрабатываемого материала могут обеспечить достаточную безопасность. Например, при работе на одностороннем пробивном станке, если заготовка имеет длину несколько футов и обрабатывается только один конец заготовки, оператор может удерживать противоположный конец во время выполнения работы. Однако, в зависимости от машины, может потребоваться защита для другого персонала.
Управление позиционированием. Позиционирование поста управления оператора обеспечивает потенциальный подход к обеспечению безопасности по местоположению. Элементы управления оператора могут быть расположены на безопасном расстоянии от машины, если у оператора нет необходимости находиться рядом с машиной.
Способы защиты при кормлении и выбросе
Многие методы подачи и выброса не требуют, чтобы операторы помещали руки в опасную зону. В некоторых случаях после настройки машины участие оператора не требуется, тогда как в других ситуациях операторы могут вручную подавать материал с помощью механизма подачи. Кроме того, могут быть разработаны методы выброса, которые не требуют участия оператора после того, как машина начнет работать. Некоторые методы подачи и выброса могут даже сами создавать опасности, например, робот, который может устранить необходимость присутствия оператора рядом с машиной, но может создать новую опасность движением своей руки. (См. таблицу 3.)
Таблица 3. Способы подачи и выброса
Способ доставки |
Защитное действие |
Наши преимущества |
Ограничения |
Автоматическая подача |
· Заготовка подается с рулонов, индексируется машинным механизмом и т.д. |
· Устраняет необходимость участия оператора в опасной зоне |
· Другие ограждения также необходимы для защиты оператора — обычно это фиксированные барьерные ограждения. |
Полуавтоматические |
· Заготовка подается по желобам, подвижным штампам, циферблатам |
· Устраняет необходимость участия оператора в опасной зоне |
· Другие ограждения также необходимы для защиты оператора — обычно это фиксированные барьерные ограждения. |
Автоматический |
· Заготовки выбрасываются воздушным или механическим способом |
· Устраняет необходимость участия оператора в опасной зоне |
· Может создавать опасность выдувания стружки или мусора |
Полуавтоматические |
· Заготовки выбрасываются механическим |
· Оператору не нужно входить в опасную зону, чтобы убрать готовую работу |
· Для оператора требуются другие ограждения |
Роботы |
· Они выполняют работу, обычно выполняемую оператором |
· Оператору не нужно входить в опасную зону |
· Могут сами создавать опасности |
Использование одного из следующих пяти методов подачи и выброса для защиты машин не устраняет необходимость в ограждениях и других устройствах, которые должны использоваться по мере необходимости для обеспечения защиты от воздействия опасностей.
Автоматическая подача. Автоматическая подача снижает нагрузку на оператора во время рабочего процесса и часто не требует от оператора никаких усилий после настройки и запуска машины. Силовой пресс на рис. 28 имеет автоматический механизм подачи с неподвижной прозрачной защитой корпуса в опасной зоне.
Рисунок 28. Силовой пресс с автоматической подачей
Полуавтоматическая подача. При полуавтоматической подаче, как и в случае силового пресса, оператор использует механизм для помещения обрабатываемой детали под ползун при каждом ходе. Оператору не нужно проникать в опасную зону, и опасная зона полностью закрыта. На рис. 29 показан лоток подачи, в который каждая деталь помещается вручную. Использование желоба на наклонном прессе не только помогает центрировать деталь, когда она скользит в матрицу, но также может упростить проблему выброса.
Рисунок 29. Силовой пресс с желобной подачей
Автоматический выброс. Автоматическое выталкивание может использовать либо давление воздуха, либо механическое устройство для удаления готовой детали из пресса, и может быть заблокировано с элементами управления для предотвращения работы до завершения выталкивания детали. Механизм панорамирования, показанный на рис. 30, перемещается под готовую деталь по мере того, как ползун перемещается в верхнее положение. Затем челнок захватывает часть, снятую с ползуна, с помощью выбивных штифтов и отклоняет ее в желоб. Когда плунжер перемещается вниз к следующей заготовке, лотковый челнок отходит от области штампа.
Рисунок 30. Система выброса челнока
Полуавтоматический выброс. На рис. 31 показан полуавтоматический механизм выталкивания, используемый в силовом прессе. Когда плунжер выводится из зоны штампа, ножка выталкивателя, механически соединенная с плунжером, выталкивает завершенную работу.
Рисунок 31. Полуавтоматический механизм выброса
Роботы. Роботы — это сложные устройства, которые загружают и разгружают запасы, собирают детали, перемещают объекты или выполняют работу, которую иным образом выполняет оператор, тем самым устраняя опасность для оператора. Их лучше всего использовать в высокопроизводительных процессах, требующих повторяющихся процедур, где они могут защитить сотрудников от других опасностей. Роботы могут создавать опасности, поэтому необходимо использовать соответствующие средства защиты. На рис. 32 показан пример робота, питающего пресс.
Рис. 32. Использование барьерных ограждений для защиты корпуса робота
Разные средства защиты
Хотя различные средства защиты не обеспечивают полной защиты от опасностей, связанных с машиной, они могут предоставить операторам дополнительный запас безопасности. При их применении и использовании необходим здравый смысл.
Барьеры осознания. Оповещающие барьеры не обеспечивают физическую защиту, а служат только для напоминания операторам о приближении к опасной зоне. Как правило, информационные барьеры не считаются достаточными, когда существует постоянное воздействие опасности. На рис. 33 показана веревка, используемая в качестве барьера осознания на задней части механических ножниц для выравнивания кромок. Барьеры физически не препятствуют проникновению людей в опасные зоны, а только обеспечивают осведомленность об опасности.
Рис. 33. Вид сзади квадрата силового сдвига
Щиты. Экраны могут использоваться для защиты от летящих частиц, брызг жидкостей для металлообработки или охлаждающих жидкостей. На рис. 34 показаны два возможных применения.
Рисунок 34. Применение щитов
Инструменты для удержания. Удерживающие инструменты размещают и снимают инвентарь. Типичное использование - доступ в опасную зону листогибочного пресса или листогибочного пресса. На рис. 35 показан набор инструментов для этой цели. Удерживающие инструменты не должны использоваться вместо других средств защиты машины; они просто дополнение к защите, которую обеспечивают другие охранники.
Рисунок 35. Удерживающие инструменты
Толкайте палочки или блоки, как показано на рисунке 36, можно использовать при подаче заготовки в станок, например, в пильный диск. Когда становится необходимо, чтобы руки находились в непосредственной близости от лезвия, толкатель или блок могут обеспечить запас безопасности и предотвратить травму.
Рисунок 36. Использование толкателя или толкателя
Общие разработки в области микроэлектроники и технологии датчиков дают основания надеяться, что повышение безопасности труда может быть достигнуто за счет наличия надежных, выносливых, неприхотливых и недорогих датчиков присутствия и приближения. В этой статье будут описаны сенсорные технологии, различные процедуры обнаружения, условия и ограничения, применимые к использованию сенсорных систем, а также некоторые завершенные исследования и работы по стандартизации в Германии.
Критерии детектора присутствия
Разработка и практическое испытание датчиков присутствия является одним из самых серьезных будущих вызовов для технических усилий по повышению безопасности труда и защиты персонала в целом. Датчики присутствия датчики, которые надежно и достоверно сигнализируют о вблизи присутствия или приближения человека. Кроме того, это предупреждение должно поступать быстро, чтобы уклонение, торможение или отключение неподвижной машины могли произойти до того, как произойдет предполагаемый контакт. Независимо от того, большие люди или маленькие, какова их поза или как они одеты, это не должно влиять на надежность датчика. Кроме того, датчик должен обладать надежностью функционирования, быть прочным и недорогим, чтобы его можно было использовать в самых сложных условиях, например, на строительных площадках и в мобильных приложениях, с минимальным обслуживанием. Датчики должны быть как подушка безопасности в том смысле, что они не требуют обслуживания и всегда готовы к работе. Учитывая нежелание некоторых пользователей обслуживать то, что они считают второстепенным оборудованием, датчики могут не обслуживаться годами. Еще одна особенность датчиков присутствия, которая, скорее всего, будет востребована, заключается в том, что они также обнаруживают препятствия, не являющиеся людьми, и вовремя предупреждают оператора о принятии защитных мер, что снижает затраты на ремонт и материальный ущерб. Это причина установки датчиков присутствия, которую нельзя недооценивать.
Приложения для детекторов
Бесчисленных несчастных случаев со смертельным исходом и серьезных травм, которые кажутся неизбежными, отдельными случайностями, можно избежать или свести к минимуму, если датчики присутствия станут более приемлемыми в качестве превентивной меры в области безопасности труда. Газеты слишком часто сообщают об этих авариях: здесь человек был сбит задним ходом погрузчика, там оператор не видел кого-то, кого задавило передним колесом экскаватора. Грузовики, движущиеся задним ходом по улицам, предприятиям и строительным площадкам, являются причиной многих несчастных случаев с людьми. Сегодняшние полностью рационализированные компании больше не предоставляют штурманов или других лиц, которые могли бы выступать в качестве проводников для водителя, который едет задним ходом. Эти примеры дорожно-транспортных происшествий можно легко распространить на другое мобильное оборудование, такое как вилочные погрузчики. Однако использование датчиков крайне необходимо для предотвращения аварий с участием полумобильного и чисто стационарного оборудования. Примером могут служить задние области больших погрузочных машин, которые были идентифицированы службой безопасности как потенциально опасные зоны, которые можно улучшить за счет использования недорогих датчиков. Многие варианты датчиков присутствия могут быть инновационно адаптированы к другим транспортным средствам и крупному мобильному оборудованию для защиты от типов аварий, обсуждаемых в этой статье, которые обычно приводят к значительным повреждениям и серьезным, если не смертельным, травмам.
Тенденция к более широкому распространению инновационных решений, по-видимому, обещает, что датчики присутствия станут стандартной технологией безопасности в других приложениях; однако нигде этого нет. Прорыв, мотивированный авариями и большим материальным ущербом, ожидается в мониторинге за фургонами и большегрузными автомобилями, а также в самых инновационных областях «новых технологий» — мобильных роботах будущего.
Разнообразие областей применения датчиков присутствия и изменчивость задач — например, допуск объектов (даже движущихся объектов при определенных условиях), которые принадлежат к области обнаружения и которые не должны вызывать срабатывание сигнала, — требуют датчиков, в которых « «интеллектуальная» технология оценки поддерживает механизмы сенсорной функции. Эта технология, которая является предметом будущего развития, может быть разработана на основе методов, основанных на области искусственного интеллекта (Шрайбер и Кун, 1995). На сегодняшний день ограниченная универсальность серьезно ограничивает текущее использование датчиков. Есть легкие шторы; световые полосы; контактные коврики; пассивные инфракрасные датчики; ультразвуковые и радарные датчики движения, использующие эффект Доплера; датчики, производящие измерения за истекшее время ультразвуковых, радиолокационных и световых импульсов; и лазерные сканеры. Обычные телевизионные камеры, подключенные к мониторам, в этот список не включены, поскольку они не являются датчиками присутствия. Однако включены те камеры, которые активируются автоматически при обнаружении присутствия человека.
Сенсорная техника
Сегодня основными задачами датчиков являются (1) оптимизация использования физических эффектов (инфракрасного, светового, ультразвукового, радиолокационного и т. д.) и (2) самоконтроль. Лазерные сканеры интенсивно разрабатываются для использования в качестве навигационных инструментов для мобильных роботов. Для этого должны быть решены две задачи, частично разные в принципе: навигация робота и защита присутствующих людей (и материалов или оборудования), чтобы их нельзя было ударить, наехать или схватить (Freund, Dierks and Rossman 1993). ). Будущие мобильные роботы не смогут сохранить ту же философию безопасности «пространственного разделения робота и человека», которая строго применяется к сегодняшним стационарным промышленным роботам. Это означает, что необходимо уделять большое внимание надежному функционированию используемого датчика присутствия.
Использование «новой технологии» часто связано с проблемами принятия, и можно предположить, что повсеместное использование мобильных роботов, которые могут перемещаться и захватывать людей на растениях, в местах общественного транспорта или даже в домах или зонах отдыха , будут приняты только в том случае, если они оснащены очень совершенными, сложными и надежными датчиками присутствия. Эффектных происшествий следует избегать любой ценой, чтобы не усугубить возможную проблему приемки. Текущий уровень затрат на разработку этого типа датчиков охраны труда и близко не подходит для учета этого соображения. Чтобы сэкономить много средств, датчики присутствия следует разрабатывать и тестировать одновременно с мобильными роботами и навигационными системами, а не после.
Применительно к автотранспортным средствам вопросы безопасности приобретают все большее значение. Инновационная безопасность пассажиров в автомобилях включает в себя трехточечные ремни безопасности, детские кресла, подушки безопасности и антиблокировочную тормозную систему, подтвержденную серийными краш-тестами. Эти меры безопасности составляют относительно растущую часть производственных затрат. Боковая подушка безопасности и системы радарных датчиков для измерения расстояния до впереди идущего автомобиля являются эволюционными разработками в области защиты пассажиров.
Повышенное внимание уделяется внешней безопасности автотранспортных средств, то есть защите третьих лиц. В последнее время требуется боковая защита, в первую очередь для грузовых автомобилей, чтобы исключить опасность попадания под задние колеса мотоциклистов, велосипедистов и пешеходов. Следующим логическим шагом будет мониторинг зоны позади больших транспортных средств с помощью датчиков присутствия и установка предупреждающего оборудования сзади. Положительным побочным эффектом этого будет обеспечение финансирования, необходимого для разработки, тестирования и предоставления максимально эффективных, самоконтролирующихся, не требующих обслуживания и надежно функционирующих недорогих датчиков для целей безопасности труда. Процесс испытаний, который будет сопровождаться широким внедрением датчиков или сенсорных систем, значительно облегчит инновации в других областях, таких как экскаваторы, тяжелые погрузчики и другие большие мобильные машины, которые в течение половины времени работают в резервном режиме. Эволюционный процесс от стационарных роботов к мобильным роботам является дополнительным путем развития датчиков присутствия. Например, можно было бы усовершенствовать датчики, которые в настоящее время используются в мобильных роботах-манипуляторах или «автономных фабричных тракторах», которые следуют по фиксированным траекториям и, следовательно, предъявляют относительно низкие требования к безопасности. Использование датчиков присутствия является следующим логическим шагом в повышении безопасности грузовых и пассажирских перевозок.
Процедуры обнаружения
Для оценки и решения вышеуказанных задач могут быть использованы различные физические принципы, доступные в связи с электронными методами измерения и самоконтроля и, в некоторой степени, высокопроизводительными вычислительными процедурами. Очевидно легкая и надежная работа автоматических машин (роботов), столь часто встречающаяся в научно-фантастических фильмах, возможно, будет реализована в реальном мире за счет использования методов визуализации и высокопроизводительных алгоритмов распознавания образов в сочетании с методами измерения расстояний, аналогичными тем используются лазерные сканеры. Необходимо признать парадоксальность ситуации, когда все, что кажется простым людям, для автоматов сложно. Например, такую сложную задачу, как превосходная игра в шахматы (которая требует активности переднего мозга), легче смоделировать и выполнить с помощью автоматических машин, чем такую простую задачу, как прямохождение или выполнение зрительно-моторной координации и другой координации движений (опосредованной средний и задний мозг). Некоторые из этих принципов, методов и процедур, применимых к датчикам, описаны ниже. В дополнение к ним существует большое количество специальных процедур для очень специальных задач, которые частично работают с комбинацией различных типов физических воздействий.
Светозащитные шторы и штанги. Среди первых датчиков присутствия были светозащитные шторы и решетки. У них плоская геометрия мониторинга; то есть тот, кто прошел барьер, больше не будет обнаружен. Рука оператора или наличие инструментов или деталей, которые держит оператор, например, могут быть быстро и надежно обнаружены с помощью этих устройств. Они вносят важный вклад в безопасность труда для машин (таких как прессы и штамповочные машины), которые требуют ручной загрузки материала. Статистическая надежность должна быть чрезвычайно высокой, потому что, когда рука достигает всего два-три раза в минуту, всего за несколько лет выполняется около миллиона операций. Взаимный самоконтроль компонентов отправителя и получателя был разработан на таком очень высоком техническом уровне, что представляет собой стандарт для всех других процедур обнаружения присутствия.
Контактные коврики (маты переключателей). Существуют как пассивные, так и активные (насосные) типы электрических и пневматических контактных матов и полов, которые изначально массово использовались в сервисных функциях (открыватели дверей), пока их не вытеснили датчики движения. Дальнейшее развитие происходит с использованием датчиков присутствия во всевозможных опасных зонах. Например, развитие автоматизированного производства с изменением функции рабочего — от управления машиной к строгому контролю за ее работой — вызвало соответствующий спрос на соответствующие детекторы. Стандартизация этого использования хорошо развита (DIN 1995a), а специальные ограничения (расположение, размер, максимально допустимые «мертвые» зоны) потребовали развития опыта для установки в этой области использования.
Интересные возможности использования контактных ковриков возникают в сочетании с несколькими роботизированными системами, управляемыми компьютером. Оператор переключает один или два элемента, чтобы датчик присутствия улавливал его точное положение и сообщал об этом компьютеру, который управляет системами управления роботами со встроенной системой предотвращения столкновений. В одном испытании, проведенном Немецким федеральным институтом безопасности (BAU), для этой цели под рабочей зоной робота-манипулятора был уложен контактный коврик, состоящий из небольших ковриков с электрическими переключателями (Freund, Dierks and Rossman, 1993). Этот датчик присутствия имел форму шахматной доски. Соответствующее активированное поле мата сообщало компьютеру положение оператора (рис. 1), и когда оператор подходил слишком близко к роботу, он удалялся. Без датчика присутствия роботизированная система не смогла бы определить положение оператора, и тогда оператор не мог бы быть защищен.
Рисунок 1. Человек (справа) и два робота в вычисляемых телах-обертках
Отражатели (датчики движения и датчики присутствия). Какими бы достойными ни были датчики, обсуждавшиеся до сих пор, они не являются датчиками присутствия в более широком смысле. Их пригодность — в первую очередь из соображений безопасности труда — для крупногабаритных транспортных средств и крупногабаритного мобильного оборудования предполагает две важные характеристики: (1) возможность наблюдения за территорией с одного места и (2) безошибочное функционирование без необходимости принятия дополнительных мер по часть — например, использование отражательных устройств. Обнаружение присутствия человека, входящего в контролируемую зону и остающегося остановленным до тех пор, пока этот человек не уйдет, также подразумевает необходимость обнаружения человека, стоящего абсолютно неподвижно. Это отличает так называемые датчики движения от датчиков присутствия, по крайней мере, в связи с мобильным оборудованием; Датчики движения почти всегда срабатывают, когда транспортное средство приводится в движение.
Датчики движения. Двумя основными типами датчиков движения являются: (1) «пассивные инфракрасные датчики» (PIRS), которые реагируют на наименьшее изменение инфракрасного луча в контролируемой области (наименьший обнаруживаемый луч составляет примерно 10-9 W с диапазоном длин волн примерно от 7 до 20 мкм); и (2) ультразвуковые и микроволновые датчики, использующие принцип Доплера, который определяет характеристики движения объекта по изменению частоты. Например, эффект Доплера увеличивает для наблюдателя частоту гудка локомотива, когда он приближается, и уменьшает частоту, когда локомотив удаляется. Эффект Доплера делает возможным создание относительно простых датчиков сближения, поскольку приемнику нужно только контролировать частоту сигнала соседних частотных диапазонов для появления доплеровской частоты.
В середине 1970-х годов использование детекторов движения стало преобладать в сервисных приложениях, таких как открывание дверей, защита от кражи и защита объектов. При стационарном использовании обнаружения приближающегося человека к опасному участку было достаточно для своевременного предупреждения или выключения машины. Это послужило основой для изучения пригодности детекторов движения для их использования в целях безопасности труда, особенно с помощью PIRS (Mester et al., 1980). Поскольку одетый человек обычно имеет более высокую температуру, чем окружающая среда (голова 34°C, руки 31°C), обнаружить приближающегося человека несколько легче, чем обнаружить неодушевленные предметы. В ограниченной степени части машины могут перемещаться в контролируемой зоне без срабатывания детектора.
Пассивный метод (без передатчика) имеет свои преимущества и недостатки. Преимущество состоит в том, что PIRS не создает проблем с шумом и электрическим смогом. Для защиты от кражи и защиты объектов особенно важно, чтобы детектор было нелегко найти. Однако датчик, который является только приемником, вряд ли может контролировать свою собственную эффективность, что очень важно для безопасности труда. Одним из способов преодоления этого недостатка было тестирование небольших модулированных (от 5 до 20 Гц) инфракрасных излучателей, которые устанавливались в контролируемой зоне и не вызывали срабатывания датчика, но чьи лучи регистрировались с фиксированным электронным усилением, настроенным на частоту модуляции. Эта модификация превратила его из «пассивного» датчика в «активный». Таким образом также можно было проверить геометрическую точность контролируемой области. Зеркала могут иметь слепые зоны, а направление пассивного датчика может быть сбито из-за грубой работы растения. На рис. 2 показан тестовый макет с ПИРС с контролируемой геометрией в виде мантии пирамиды. Благодаря большому радиусу действия пассивные инфракрасные датчики устанавливаются, например, в проходах стеллажей.
Рис. 2. Пассивный инфракрасный датчик как детектор приближения в опасной зоне
В целом испытания показали, что датчики движения не подходят для обеспечения безопасности труда. Пол ночного музея нельзя сравнивать с опасными зонами на рабочем месте.
Ультразвуковые, радиолокационные и светоимпульсные детекторы. Датчики, использующие принцип импульса/эха, т. е. измеряющие прошедшее время ультразвуковых, радарных или световых импульсов, имеют большой потенциал в качестве датчиков присутствия. С помощью лазерных сканеров световые импульсы могут проходить в быстрой последовательности (обычно вращательно), например, по горизонтали, а с помощью компьютера можно получить дальний профиль объектов на плоскости, отражающих свет. Если, например, требуется не только одна линия, но и все то, что находится перед мобильным роботом на высоте до 2 метров, то для изображения окружающего пространства необходимо обрабатывать большое количество данных. Будущий «идеальный» датчик присутствия будет состоять из комбинации следующих двух процессов:
На Рисунке 3 показано, из ранее упомянутого проекта BAU (Freund, Dierks and Rossman 1993), использование лазерного сканера на мобильном роботе, который также выполняет навигационные задачи (с помощью луча, определяющего направление) и защиту от столкновений с объектами в непосредственной близости. близость (через наземный измерительный луч для обнаружения присутствия). Учитывая эти особенности, мобильный робот имеет возможность активное автоматизированное свободное вождение (т.е. возможность объезжать препятствия). Технически это достигается за счет использования угла поворота сканера в 45° назад с обеих сторон (влево и вправо от робота) в дополнение к углу 180° вперед. Эти лучи связаны со специальным зеркалом, которое действует как световая завеса на полу перед мобильным роботом (обеспечивая линию обзора с земли). Если оттуда исходит лазерное отражение, робот останавливается. В то время как лазерные и световые сканеры, сертифицированные для использования в области безопасности труда, уже представлены на рынке, эти датчики присутствия имеют большой потенциал для дальнейшего развития.
Рис. 3. Мобильный робот с лазерным сканером для навигации и обнаружения присутствия
Ультразвуковые и радарные датчики, которые используют время от сигнала до отклика для определения расстояния, менее требовательны с технической точки зрения и, следовательно, могут производиться дешевле. Сенсорная область имеет булавовидную форму и имеет одну или несколько боковых бугорков меньшего размера, которые расположены симметрично. Скорость распространения сигнала (звук: 330 м/с; электромагнитная волна: 300,000 XNUMX км/с) определяет необходимую скорость используемой электроники.
Предупреждающие устройства задней зоны. На выставке в Ганновере в 1985 году BAU представила результаты первоначального проекта по использованию ультразвуковых датчиков для защиты территории позади больших транспортных средств (Langer and Kurfürst, 1985). Полноразмерная модель сенсорной головки, изготовленная из сенсоров Polaroid™, была установлена на задней стенке грузового автомобиля. На рис. 4 схематично показано его функционирование. Большой диаметр этого датчика создает относительно малоугловые (приблизительно 18°), дальнодействующие булавовидные измеряемые области, расположенные рядом друг с другом и настроенные на разные максимальные диапазоны сигнала. На практике это позволяет задать любую желаемую контролируемую геометрию, которая сканируется датчиками примерно четыре раза в секунду на присутствие или вход людей. Другие продемонстрированные системы предупреждения о тыле имели несколько параллельных отдельных датчиков.
Рисунок 4. Расположение измерительной головки и контролируемой области на задней стороне грузовика
Эта яркая демонстрация имела большой успех на выставке. Он показал, что обеспечение безопасности тыла крупных транспортных средств и оборудования изучается во многих местах, например, специализированными комитетами отраслевых торговых ассоциаций. (Berufsgenossenschaften), муниципальные страховщики от несчастных случаев (которые отвечают за муниципальный транспорт), чиновники государственного отраслевого надзора и производители датчиков, которые больше думали об автомобилях как о служебных транспортных средствах (в смысле сосредоточения внимания на парковочных системах для защиты от повреждения кузова). Спонтанно был сформирован специальный комитет, составленный из групп по продвижению устройств оповещения в тылу, и в качестве первой задачи он взял на себя подготовку списка требований с точки зрения безопасности труда. Прошло десять лет, за это время многое было проработано в области контроля тыла — возможно, самой важной задачи датчиков присутствия; но большой прорыв все еще отсутствует.
Было проведено множество проектов с ультразвуковыми датчиками, например, на кранах для сортировки круглого леса, гидравлических экскаваторах, специальных коммунальных транспортных средствах и других коммунальных транспортных средствах, а также на вилочных погрузчиках и погрузчиках (Schreiber, 1990). Предупреждающие устройства в задней части особенно важны для крупной техники, которая большую часть времени движется задним ходом. Ультразвуковые датчики присутствия используются, например, для защиты специализированных беспилотных транспортных средств, таких как роботизированные погрузочно-разгрузочные машины. По сравнению с резиновыми бамперами эти датчики имеют большую зону обнаружения, что обеспечивает торможение до того, как машина соприкоснется с объектом. Соответствующие датчики для автомобилей являются соответствующими разработками и предъявляют значительно менее жесткие требования.
Тем временем Комитет по техническим стандартам транспортных систем DIN разработал стандарт 75031 «Устройства обнаружения препятствий при движении задним ходом» (DIN 1995b). Требования и испытания были установлены для двух диапазонов: 1.8 м для грузовиков снабжения и 3.0 м — дополнительная зона предупреждения — для более крупных грузовиков. Контролируемая область устанавливается посредством распознавания цилиндрических пробных тел. Диапазон 3 м также является пределом того, что в настоящее время технически возможно, поскольку ультразвуковые датчики должны иметь закрытые металлические мембраны, учитывая их тяжелые условия работы. Устанавливаются требования к самоконтролю сенсорной системы, так как требуемая контролируемая геометрия может быть достигнута только системой из трех и более сенсоров. На рис. 5 показано устройство оповещения сзади, состоящее из трех ультразвуковых датчиков (Microsonic GmbH, 1996). То же самое относится к устройству оповещения в кабине водителя и типу предупредительного сигнала. Содержание стандарта DIN 75031 также изложено в международном техническом отчете ISO TR 12155 «Коммерческие автомобили — Устройство обнаружения препятствий при движении задним ходом» (ISO 1994). Различные производители датчиков разработали прототипы в соответствии с этим стандартом.
Рис. 5. Грузовик среднего размера, оборудованный сигнальным устройством сзади (фото Microsonic).
Заключение
С начала 1970-х годов несколько организаций и производителей датчиков работали над разработкой и внедрением «детекторов присутствия». В специальном приложении «задние сигнальные устройства» есть стандарт DIN 75031 и отчет ISO TR 12155. В настоящее время Deutsche Post AG проводит серьезные испытания. Несколько производителей датчиков оснастили такими устройствами пять грузовиков среднего размера. Положительный результат этого теста во многом отвечает интересам охраны труда. Как было подчеркнуто в самом начале, датчики присутствия в необходимом количестве представляют собой серьезную проблему для техники безопасности во многих упомянутых областях применения. Поэтому они должны быть реализованы с низкими затратами, если ущерб оборудованию, машинам и материалам и, прежде всего, травмы людей, часто очень серьезные, должны быть оставлены в прошлом.
Устройства управления и устройства, используемые для отключения и переключения, всегда должны обсуждаться в отношении технические системы, термин, используемый в этой статье для обозначения машин, установок и оборудования. Каждая техническая система выполняет определенную и поставленную практическую задачу. Если эта практическая задача должна быть выполнимой или даже возможной в безопасных условиях, необходимы соответствующие устройства управления безопасностью и переключатели. Такие устройства используются для того, чтобы инициировать управление, прерывать или замедлять ток и/или импульсы электрической, гидравлической, пневматической, а также потенциальной энергии.
Изоляция и энергосбережение
Изолирующие устройства используются для изоляции энергии путем отключения питающей линии между источником энергии и технической системой. Изолирующее устройство должно, как правило, обеспечивать однозначно определяемое фактическое отключение подачи энергии. Отключение энергоснабжения также всегда должно сочетаться с уменьшением запаса энергии во всех частях технической системы. Если техническая система питается от нескольких источников энергии, все эти питающие линии должны быть надежно изолированы. Лица, обученные обращению с соответствующим видом энергии и работающие на энергетическом конце технической системы, используют изолирующие устройства, чтобы защитить себя от опасностей, связанных с энергией. Из соображений безопасности эти лица всегда проверяют, чтобы в технической системе не осталось потенциально опасной энергии, например, констатируя отсутствие электрического потенциала в случае электрической энергии. Безопасное обращение с некоторыми изолирующими устройствами возможно только для обученных специалистов; в таких случаях изолирующее устройство должно быть сделано недоступным для посторонних лиц. (См. рис. 1.)
Рисунок 1. Принцип действия электрических и пневматических изолирующих устройств
Главный переключатель
Устройство главного выключателя отключает техническую систему от энергоснабжения. В отличие от изолирующего устройства, с ним может безопасно эксплуатироваться даже «неэнергетический специалист». Устройство главного выключателя предназначено для отключения неиспользуемых в данный момент технических систем, например, в случае воспрепятствования их работе посторонними третьими лицами. Он также используется для отключения в таких целях, как техническое обслуживание, устранение неисправностей, очистка, сброс и переналадка, при условии, что такая работа может выполняться без энергии в системе. Естественно, когда устройство главного выключателя также обладает характеристиками разъединяющего устройства, оно также может взять на себя и/или разделить его функцию. (См. рис. 2.)
Рис. 2. Пример изображения электрических и пневматических устройств главного выключателя.
Устройство защитного отключения
Устройство защитного отключения не отключает всю техническую систему от источника энергии; скорее, он удаляет энергию из частей системы, критически важных для конкретной операционной подсистемы. Кратковременные вмешательства могут быть назначены для операционных подсистем, например, для настройки или сброса/переоснащения системы, для устранения неисправностей, для регулярной очистки, а также для основных и определенных движений и последовательностей функций, необходимых в течение курса. настройки, сброса/переоснащения или пробных запусков. Сложное производственное оборудование и установки нельзя просто отключить с помощью главного выключателя в этих случаях, так как вся техническая система не может снова запуститься с того места, где она остановилась после устранения неисправности. Кроме того, в более обширных технических системах устройство главного выключателя редко находится в том месте, где должно быть выполнено вмешательство. Таким образом, устройство защитного отключения должно соответствовать ряду требований, таких как:
Если устройство главного выключателя, используемое в данной технической системе, способно выполнить все требования, предъявляемые к устройству защитного отключения, оно также может взять на себя эту функцию. Но это, конечно, будет надежным средством только в очень простых технических системах. (См. рис. 3.)
Рисунок 3. Иллюстрация элементарных принципов устройства защитного отключения
Механизмы управления для операционных подсистем
Механизмы управления обеспечивают безопасное выполнение и управление движениями и функциональными последовательностями, необходимыми для операционных подсистем технической системы. Для наладки (при выполнении тестовых запусков) могут потребоваться устройства управления рабочими подсистемами; для регулирования (при устранении неполадок в работе системы или при устранении засоров); или учебных целях (демонстрация операций). В таких случаях нормальная работа системы не может быть просто перезапущена, так как вмешивающееся лицо будет подвергаться опасности из-за движений и процессов, запускаемых ошибочно введенными или ошибочно сгенерированными управляющими сигналами. Аппаратура управления оперативными подсистемами должна соответствовать следующим требованиям:
Рис. 4. Исполнительные устройства в механизмах управления подвижными и стационарными рабочими подсистемами
Аварийный выключатель
Аварийные выключатели необходимы там, где нормальная работа технических систем может привести к опасностям, которые не могут быть предотвращены ни соответствующей конструкцией системы, ни принятием соответствующих мер предосторожности. В операционных подсистемах аварийный выключатель часто является частью механизма управления оперативной подсистемой. При срабатывании в случае опасности аварийный выключатель реализует процессы, максимально быстро возвращающие техническую систему в безопасное рабочее состояние. Что касается приоритетов безопасности, то защита людей имеет первостепенное значение; предотвращение повреждения материала является второстепенным, если только последний не может также представлять опасность для людей. Аварийный выключатель должен соответствовать следующим требованиям:
Рисунок 5. Иллюстрация принципов работы панелей управления в аварийных выключателях
Устройство управления переключателем функций
Устройства управления переключателями функций служат для включения технической системы в нормальный режим работы, а также для инициирования, осуществления и прерывания движений и процессов, предназначенных для нормального режима работы. Устройство управления переключателем функций используется исключительно в процессе нормальной работы технической системы, т. е. при беспрепятственном выполнении всех назначенных функций. Он используется соответственно лицами, управляющими технической системой. Устройства управления переключателями функций должны соответствовать следующим требованиям:
Рисунок 6. Схематическое изображение панели управления операциями
Контрольные переключатели
Контрольные выключатели предотвращают запуск технической системы до тех пор, пока не выполняются контролируемые условия безопасности, и прерывают работу, как только условие безопасности больше не выполняется. Они используются, например, для контроля дверей в защитных отсеках, для проверки правильного положения защитных ограждений или для обеспечения того, чтобы ограничения скорости или пути не были превышены. Соответственно контрольные выключатели должны удовлетворять следующим требованиям безопасности и надежности:
Рис. 7. Схема выключателя с принудительным механическим срабатыванием и принудительным отключением
Цепи управления безопасностью
Некоторые из описанных выше предохранительных коммутационных устройств не выполняют функцию безопасности напрямую, а скорее посылают сигнал, который затем передается и обрабатывается схемой управления безопасностью и, наконец, достигает тех частей технической системы, которые выполняют реальную функцию безопасности. Устройство защитного отключения, например, часто косвенно вызывает отключение энергии в критических точках, тогда как главный выключатель обычно напрямую отключает подачу тока в техническую систему.
Поскольку цепи управления безопасностью должны надежно передавать сигналы безопасности, необходимо учитывать следующие принципы:
Компоненты, используемые в цепях управления безопасностью, должны выполнять функцию безопасности особенно надежно. Функции компонентов, не отвечающих этому требованию, должны быть реализованы путем организации как можно более диверсифицированного резервирования и должны находиться под наблюдением.
В последние несколько лет микропроцессоры играют все возрастающую роль в области техники безопасности. Поскольку целые компьютеры (т. е. центральный процессор, память и периферийные компоненты) теперь доступны в одном компоненте как «одночиповые компьютеры», микропроцессорная технология используется не только для управления сложными машинами, но и для защиты относительно простой конструкции. (например, световые решетки, устройства двуручного управления и защитные кромки). Программное обеспечение, управляющее этими системами, включает от одной тысячи до нескольких десятков тысяч одиночных команд и обычно состоит из нескольких сотен программных ветвей. Программы работают в режиме реального времени и в основном написаны на языке ассемблера программистов.
Внедрение автоматизированных систем в области техники безопасности сопровождалось во всех крупномасштабных технических средствах не только дорогостоящими НИОКР, но и существенными ограничениями, направленными на повышение безопасности. (Аэрокосмическая технология, военная технология и технология атомной энергии могут быть приведены здесь в качестве примеров крупномасштабного применения.) Коллективная область промышленного массового производства до сих пор рассматривалась лишь очень ограниченно. Отчасти это происходит по той причине, что быстрые циклы инноваций, характерные для проектирования промышленных машин, затрудняют передачу, за исключением очень ограниченного, знания, которое может быть получено в результате исследовательских проектов, связанных с окончательным тестированием крупномасштабных машин. устройства для обеспечения безопасности. Это делает разработку быстрых и недорогих процедур оценки необходимой (Reinert and Reuss, 1991).
В этой статье сначала рассматриваются машины и оборудование, в которых компьютерные системы в настоящее время выполняют задачи по обеспечению безопасности, на примерах несчастных случаев, происходящих преимущественно в области защиты машин, чтобы показать особую роль, которую компьютеры играют в технологиях безопасности. Эти несчастные случаи дают некоторое представление о том, какие меры предосторожности должны быть приняты, чтобы компьютеризированное оборудование для обеспечения безопасности, которое в настоящее время получает все более широкое распространение, не привело к увеличению числа несчастных случаев. В заключительном разделе статьи описывается процедура, которая позволит довести даже небольшие компьютерные системы до надлежащего уровня технической безопасности при оправданных затратах и в течение приемлемого периода времени. Принципы, указанные в этой заключительной части, в настоящее время внедряются в международные процедуры стандартизации и будут иметь значение для всех областей техники безопасности, в которых находят применение компьютеры.
Примеры использования программного обеспечения и компьютеров в области защиты машин
Следующие четыре примера показывают, что программное обеспечение и компьютеры в настоящее время все больше и больше входят в приложения, связанные с безопасностью, в коммерческой сфере.
Индивидуально-аварийные сигнальные установки состоят, как правило, из центрального приемного пункта и ряда индивидуальных аварийных сигнализаторов. Устройства несут лица, работающие на объекте самостоятельно. Если кто-либо из этих лиц, работающих в одиночку, окажется в аварийной ситуации, он может использовать устройство для срабатывания сигнализации по радиосигналу в центральном приемном пункте. Такой волевой пусковой механизм может быть дополнен механизмом произвольного срабатывания, приводимым в действие датчиками, встроенными в персональные аварийные устройства. Как отдельные устройства, так и центральная приемная станция часто управляются микрокомпьютерами. Вполне возможно, что отказ отдельных отдельных функций встроенного компьютера может привести в аварийной ситуации к несрабатыванию сигнализации. Поэтому необходимо принять меры предосторожности, чтобы вовремя заметить и устранить такую потерю функции.
Печатные станки, используемые сегодня для печати журналов, представляют собой большие машины. Бумажные полотна обычно подготавливаются на отдельной машине таким образом, чтобы обеспечить плавный переход на новый бумажный рулон. Отпечатанные страницы сгибаются на фальцевальной машине и затем проходят через цепочку других машин. В результате поддоны загружаются полностью сшитыми магазинами. Хотя такие установки автоматизированы, есть две точки, в которых необходимо выполнять ручное вмешательство: (1) при заправке трактов бумаги и (2) при устранении препятствий, вызванных разрывами бумаги в опасных местах на вращающихся роликах. По этой причине во время регулировки прессов технология управления должна обеспечивать пониженную скорость работы или режим толчкового перемещения с ограничением по траектории или времени. Из-за сложных процедур управления каждая отдельная станция печати должна быть оснащена собственным программируемым логическим контроллером. Любая неисправность, возникающая в системе управления типографией при открытых защитных решетках, должна не допускать, чтобы она приводила либо к неожиданному запуску остановленной машины, либо к работе с превышением допустимо сниженных скоростей.
На крупных фабриках и складах беспилотные автоматизированные роботизированные транспортные средства передвигаются по специально размеченным дорожкам. По этим путям в любое время могут пройти люди, или материалы и оборудование могут быть непреднамеренно оставлены на путях, поскольку они конструктивно не отделены от других путей движения. По этой причине необходимо использовать какое-либо оборудование для предотвращения столкновений, чтобы гарантировать, что транспортное средство будет остановлено до того, как произойдет опасное столкновение с человеком или объектом. В более поздних применениях предотвращение столкновений осуществляется с помощью ультразвуковых или лазерных сканеров, используемых в сочетании с защитным бампером. Поскольку эти системы работают под управлением компьютера, можно настроить несколько постоянных зон обнаружения, чтобы транспортное средство могло изменять свою реакцию в зависимости от конкретной зоны обнаружения, в которой находится человек. Неисправности защитного устройства не должны приводить к опасному столкновению с человеком.
Гильотины устройства контроля обрезки бумаги используются для прессования, а затем разрезания толстых стопок бумаги. Они запускаются двуручным устройством управления. Пользователь должен проникнуть в опасную зону станка после каждого разреза. Нематериальная защита, обычно легкая решетка, используется в сочетании с устройством управления двумя руками и безопасной системой управления машиной для предотвращения травм при подаче бумаги во время операции резки. Почти все более крупные и современные гильотины, используемые сегодня, управляются многоканальными микрокомпьютерными системами. Как управление двумя руками, так и световая сетка также должны гарантировать безопасное функционирование.
Аварии с компьютерными системами
Почти во всех областях промышленного применения сообщается об авариях с программным обеспечением и компьютерами (Neumann 1994). В большинстве случаев компьютерные сбои не приводят к травмам людей. Такие неудачи в любом случае предаются гласности только тогда, когда они представляют общественный интерес. Это означает, что случаи неисправности или несчастного случая, связанные с компьютерами и программным обеспечением, в результате которых пострадали люди, составляют относительно высокую долю всех получивших огласку случаев. К сожалению, аварии, которые не вызывают большой общественной сенсации, не расследуются в отношении их причин с такой же интенсивностью, как более серьезные аварии, как правило, на крупных предприятиях. По этой причине нижеследующие примеры относятся к четырем описаниям неисправностей или аварий, типичных для систем с компьютерным управлением, не относящихся к области защиты машин, которые используются для того, чтобы указать, что следует принимать во внимание при вынесении суждений, касающихся техники безопасности.
Аварии, вызванные случайными сбоями в оборудовании
Следующая авария была вызвана концентрацией случайных отказов в оборудовании в сочетании с программным сбоем: Реактор перегрелся на химическом заводе, после чего были открыты предохранительные клапаны, позволившие выпустить содержимое реактора в атмосферу. Эта авария произошла вскоре после того, как было дано предупреждение о том, что уровень масла в коробке передач слишком низкий. Тщательное расследование аварии показало, что вскоре после того, как катализатор инициировал реакцию в реакторе, вследствие чего реактору потребовалось бы дополнительное охлаждение, компьютер, на основании сообщения о низком уровне масла в коробке передач, заморозил все. величины, находящиеся под его контролем, на фиксированном уровне. Это удерживало поток холодной воды на слишком низком уровне, в результате чего реактор перегревался. Дальнейшее расследование показало, что индикация низкого уровня масла была вызвана неисправным компонентом.
Программное обеспечение отреагировало в соответствии со спецификацией срабатыванием аварийного сигнала и фиксацией всех рабочих переменных. Это было следствием исследования HAZOP (анализ опасностей и работоспособности) (Knowlton 1986), проведенного до события, которое требовало, чтобы все контролируемые переменные не изменялись в случае отказа. Поскольку программист не был подробно знаком с процедурой, это требование было истолковано как означающее, что управляемые исполнительные механизмы (в данном случае регулирующие клапаны) не должны были модифицироваться; не обращали внимания на возможность повышения температуры. Программист не учел, что после получения ошибочного сигнала система может оказаться в динамической ситуации типа требующей активного вмешательства компьютера для предотвращения аварии. Более того, ситуация, приведшая к несчастному случаю, была настолько маловероятной, что не была подробно проанализирована в исследовании HAZOP (Levenson 1986). Этот пример обеспечивает переход ко второй категории причин программно-компьютерных аварий. Это систематические сбои, которые есть в системе с самого начала, но которые проявляются только в определенных очень специфических ситуациях, которые разработчик не учел.
Несчастные случаи, вызванные сбоями в работе
В полевых испытаниях во время окончательной проверки роботов один техник позаимствовал кассету соседнего робота и заменил ее другой, не сообщив об этом своему коллеге. Вернувшись на свое рабочее место, коллега вставил не ту кассету. Так как он стоял рядом с роботом и ожидал от него определенной последовательности движений — последовательности, которая получалась иначе из-за обменной программы, — между роботом и человеком произошло столкновение. Эта авария описывает классический пример эксплуатационного отказа. Роль таких отказов в неисправностях и авариях в настоящее время возрастает в связи с усложнением применения управляемых компьютером механизмов безопасности.
Несчастные случаи, вызванные систематическими сбоями в оборудовании или программном обеспечении
Торпеда с боеголовкой должна была быть выпущена в учебных целях с боевого корабля в открытом море. Из-за дефекта приводного аппарата торпеда осталась в торпедном аппарате. Капитан решил вернуться в порт приписки, чтобы спасти торпеду. Вскоре после того, как корабль начал возвращаться домой, торпеда взорвалась. Анализ аварии показал, что разработчики торпеды были вынуждены встроить в торпеду механизм, предназначенный для предотвращения ее возвращения на стартовую площадку после выстрела и, таким образом, уничтожения запустившего ее корабля. Для этого был выбран следующий механизм: после выстрела торпеды с помощью инерциальной навигационной системы проверяли, не изменился ли ее курс на 180°. Как только торпеда почувствовала, что повернулась на 180°, она тут же взорвалась, предположительно на безопасном расстоянии от стартовой площадки. Этот механизм обнаружения срабатывал в случае неправильного пуска торпеды, в результате чего торпеда взорвалась после того, как корабль изменил курс на 180°. Это типичный пример аварии, произошедшей из-за несоблюдения спецификаций. Недостаточно точно сформулировано требование в ТУ о том, что торпеда не должна уничтожать собственный корабль при изменении курса; Таким образом, меры предосторожности были запрограммированы ошибочно. Ошибка проявилась только в конкретной ситуации, которую программист не учел как возможность.
14 сентября 1993 г. при посадке в Варшаве разбился самолет Airbus A 320 авиакомпании Lufthansa (рис. 1). Тщательное расследование авиакатастрофы показало, что за эту аварийную посадку частично ответственны изменения в логике посадки бортового компьютера, сделанные после аварии с самолетом Lauda Air Boeing 767 в 1991 году. Что произошло в аварии 1991 года, так это то, что отклонение тяги, которое отводит часть газов двигателя, чтобы затормозить самолет во время посадки, сработало еще в воздухе, что вынудило машину совершить неконтролируемое пикирование. По этой причине в машины Airbus была встроена электронная блокировка отклонения тяги. Этот механизм позволял вступать в силу отклонения тяги только после того, как датчики на обоих комплектах шасси подали сигнал о сжатии амортизаторов под давлением касания колес. На основании неверной информации пилоты самолета в Варшаве предвидели сильный боковой ветер.
Рис. 1. Lufthansa Airbus после аварии в Варшаве, 1993 г.
По этой причине они привезли машину с небольшим наклоном, и Airbus приземлился только правым колесом, оставив левый подшипник меньше, чем полный вес. Из-за электронной блокировки отклонения тяги бортовой компьютер в течение девяти секунд отказывал пилоту в таких маневрах, которые позволили бы самолету благополучно приземлиться, несмотря на неблагоприятные обстоятельства. Эта авария очень наглядно демонстрирует, что изменения в компьютерных системах могут привести к новым и опасным ситуациям, если заранее не учитывать диапазон их возможных последствий.
Следующий пример неисправности также демонстрирует катастрофические последствия, которые может иметь изменение одной единственной команды в компьютерных системах. Содержание алкоголя в крови определяют химическими тестами с использованием прозрачной сыворотки крови, из которой предварительно отцентрифугированы кровяные тельца. Таким образом, содержание алкоголя в сыворотке выше (в 1.2 раза), чем в более густой цельной крови. По этой причине значения алкоголя в сыворотке должны быть разделены на коэффициент 1.2, чтобы установить юридически и с медицинской точки зрения критические цифры в тысячных частях. В межлабораторном испытании, проведенном в 1984 г., значения содержания алкоголя в крови, установленные в идентичных испытаниях, проведенных в различных научно-исследовательских учреждениях с использованием сыворотки, должны были быть сопоставлены друг с другом. Поскольку речь шла только о сравнении, команда делить на 1.2 была, кроме того, стерта из программы в одном из учреждений на время эксперимента. После окончания межлабораторного испытания в этом месте ошибочно была введена в программу команда умножения на 1.2. В результате в период с августа 1,500 г. по март 1984 г. было рассчитано примерно 1985 неверных значений частей на тысячу. Эта ошибка была критической для профессиональной карьеры водителей-дальнобойщиков с уровнем алкоголя в крови от 1.0 до 1.3 промилле, поскольку юридическое наказание, влекущее за собой конфискацию водительских прав на длительный срок, является следствием значения 1.3 промилле.
Несчастные случаи, вызванные воздействием эксплуатационных нагрузок или стрессов окружающей среды
В результате помех, вызванных сбором отходов в рабочей зоне станка для вырубки и штамповки с ЧПУ (ЧПУ), пользователь ввел в действие «запрограммированную остановку». Когда он пытался удалить отходы руками, толкатель машины начал двигаться, несмотря на запрограммированную остановку, и серьезно ранил пользователя. Анализ аварии показал, что речь шла не об ошибке в программе. Неожиданный пуск воспроизвести не удалось. Подобные нарушения наблюдались и в прошлом на других машинах того же типа. Из них кажется правдоподобным сделать вывод, что авария должна была быть вызвана электромагнитными помехами. Подобные несчастные случаи с промышленными роботами зарегистрированы в Японии (Neumann 1987).
Неисправность космического корабля "Вояджер-2" 18 января 1986 года еще больше прояснила влияние стрессов окружающей среды на системы, управляемые компьютером. За шесть дней до максимального сближения с Ураном изображения с «Вояджера-2» покрывали большие поля черно-белых линий. Точный анализ показал, что один бит в командном слове подсистемы полетных данных вызвал сбой, наблюдаемый как изображения были сжаты в зонде. Этот бит, скорее всего, был выбит из памяти программы ударом космической частицы. Безошибочная передача сжатых фотографий с зонда была осуществлена только через два дня с использованием программы-замены, способной обойти неисправную точку памяти (Laeser, McLaughlin and Wolff, 1987).
Краткое изложение представленных аварий
Проанализированные несчастные случаи показывают, что некоторые риски, которыми можно было бы пренебречь в условиях использования простой электромеханической технологии, приобретают значение при использовании компьютеров. Компьютеры позволяют выполнять сложные и зависящие от ситуации функции безопасности. По этой причине особенно важной становится однозначная, безошибочная, полная и проверяемая спецификация всех функций безопасности. Ошибки в спецификациях трудно обнаружить, и они часто являются причиной аварий в сложных системах. Свободно программируемые элементы управления обычно вводятся с намерением гибко и быстро реагировать на изменения рынка. Однако модификации, особенно в сложных системах, имеют побочные эффекты, которые трудно предвидеть. Поэтому все модификации должны подвергаться строго формальной процедуре управления изменениями, в которой четкое отделение функций безопасности от частичных систем, не связанных с безопасностью, поможет легко отслеживать последствия модификаций для технологии безопасности.
Компьютеры работают с низким уровнем электричества. Поэтому они чувствительны к помехам от внешних источников излучения. Поскольку модификация одного-единственного сигнала среди миллионов может привести к неисправности, стоит уделить особое внимание теме электромагнитной совместимости применительно к компьютерам.
Обслуживание систем с компьютерным управлением в настоящее время становится все более сложным и, следовательно, все более неясным. Таким образом, эргономика программного обеспечения пользователя и программного обеспечения для настройки становится все более интересной с точки зрения техники безопасности.
Ни одна компьютерная система не может быть протестирована на 100%. Простой механизм управления с 32 бинарными входными портами и 1,000 различных программных путей требует 4.3 × 1012 тесты для полной проверки. При скорости выполнения и оценки 100 тестов в секунду полное тестирование заняло бы 1,362 года.
Процедуры и меры по совершенствованию компьютеризированных устройств безопасности
За последние 10 лет были разработаны процедуры, которые позволяют справиться с конкретными задачами, связанными с безопасностью, связанными с компьютерами. Эти процедуры относятся к сбоям компьютера, описанным в этом разделе. Описанные примеры программного обеспечения и компьютеров для обеспечения безопасности машин и проанализированные несчастные случаи показывают, что степень ущерба и, следовательно, также риск, связанный с различными приложениями, чрезвычайно различны. Поэтому ясно, что необходимые меры предосторожности для улучшения компьютеров и программного обеспечения, используемых в технике безопасности, должны быть установлены в отношении риска.
На рис. 2 показана качественная процедура, с помощью которой можно определить необходимое снижение риска, достигаемое с помощью систем безопасности, независимо от степени и частоты возникновения ущерба (Bell and Reinert 1992). Типы отказов в компьютерных системах, проанализированные в разделе «Аварии с компьютерными системами» (выше), могут быть соотнесены с так называемыми уровнями полноты безопасности, т. е. с техническими средствами снижения риска.
Рисунок 2. Качественная процедура определения риска
Рисунок 3 ясно показывает, что эффективность мер, принимаемых в любом конкретном случае для уменьшения ошибок в программном обеспечении и компьютерах, должна возрастать с увеличением риска (DIN 1994; IEC 1993).
Рисунок 3. Эффективность мер предосторожности против ошибок независимо от риска
Анализ приведенных выше аварий показывает, что отказ управляемых компьютером защит вызван не только случайными отказами компонентов, но и особыми условиями эксплуатации, которые не были учтены программистом. Не сразу очевидные последствия модификаций программы, сделанных в ходе обслуживания системы, представляют собой дополнительный источник ошибок. Отсюда следует, что в системах безопасности, управляемых микропроцессорами, возможны отказы, которые хотя и допущены при разработке системы, но могут привести к возникновению опасной ситуации только в процессе эксплуатации. Поэтому необходимо принимать меры предосторожности против таких отказов, пока системы, связанные с безопасностью, находятся на стадии разработки. Эти так называемые меры по предотвращению отказов должны приниматься не только на этапе разработки концепции, но и в процессе разработки, установки и модификации. Определенных отказов можно избежать, если они будут обнаружены и устранены в ходе этого процесса (DIN 1990).
Как ясно показывает последняя описанная авария, выход из строя одного транзистора может привести к техническому отказу очень сложного автоматизированного оборудования. Поскольку каждая отдельная схема состоит из многих тысяч транзисторов и других компонентов, должны быть приняты многочисленные меры по предотвращению отказов, чтобы распознать такие отказы, возникающие в процессе работы, и инициировать соответствующую реакцию в компьютерной системе. На рисунке 4 описаны типы отказов в программируемых электронных системах, а также примеры мер предосторожности, которые могут быть приняты для предотвращения и контроля отказов в компьютерных системах (DIN 1990; IEC 1992).
Рисунок 4. Примеры мер предосторожности, принимаемых для контроля и предотвращения ошибок в компьютерных системах
Возможности и перспективы программируемых электронных систем в технике безопасности
Современные машины и установки становятся все более сложными и должны решать все более сложные задачи за все более короткие промежутки времени. По этой причине компьютерные системы захватили почти все области промышленности с середины 1970-х годов. Одно только это увеличение сложности в значительной степени способствовало росту затрат, связанных с улучшением технологии безопасности в таких системах. Хотя программное обеспечение и компьютеры создают серьезную проблему для безопасности на рабочем месте, они также позволяют внедрять новые безошибочные системы в области техники безопасности.
Забавный, но поучительный стих Эрнста Яндла поможет объяснить, что подразумевается под понятием безошибочный. «Lichtung: Manche meinen lechts und rinks kann man nicht velwechsern, werch ein Illtum». («Направление: многие считают, что свет и свет нельзя поменять местами, что за эллол».) Несмотря на обмен письмами r и l, эта фраза легко понятна нормальному взрослому человеку. Даже человек с низким уровнем владения английским языком может перевести его на английский язык. Однако задача для переводящего компьютера практически невыполнима.
Этот пример показывает, что человек может реагировать гораздо более безошибочно, чем языковой компьютер. Это означает, что люди, как и все другие живые существа, могут терпеть неудачи, ссылаясь на них. Если посмотреть на машины, используемые сегодня, можно увидеть, что большинство машин наказывает пользователей за отказы не несчастным случаем, а снижением производительности. Это свойство приводит к манипулированию или обходу средств защиты. Современные компьютерные технологии предоставляют в распоряжение системы безопасности труда, которые могут реагировать интеллектуально, т. е. модифицированным образом. Таким образом, такие системы делают возможным безошибочный режим работы новых машин. Они в первую очередь предупреждают пользователей при неправильной работе и выключают машину только тогда, когда это единственный способ избежать аварии. Анализ несчастных случаев показывает, что в этой области существует значительный потенциал для снижения числа несчастных случаев (Reinert and Reuss, 1991).
Гибридная автоматизированная система (ГАС) призвана интегрировать возможности машин с искусственным интеллектом (на основе компьютерных технологий) с возможностями людей, взаимодействующих с этими машинами в процессе своей трудовой деятельности. Основные проблемы использования HAS связаны с тем, как должны быть спроектированы человеческие и машинные подсистемы, чтобы наилучшим образом использовать знания и навыки обеих частей гибридной системы, и как люди-операторы и компоненты машины должны взаимодействовать друг с другом. чтобы их функции дополняли друг друга. Многие гибридные автоматизированные системы развились как продукты применения современных методологий, основанных на информации и управлении, для автоматизации и интеграции различных функций часто сложных технологических систем. Первоначально HAS была идентифицирована с внедрением компьютерных систем, используемых при проектировании и эксплуатации систем управления в реальном времени для ядерных энергетических реакторов, для химических заводов и для технологии производства дискретных деталей. В настоящее время HAS также можно найти во многих сферах обслуживания, таких как управление воздушным движением и процедуры навигации самолетов в области гражданской авиации, а также при разработке и использовании интеллектуальных систем навигации для транспортных средств и шоссе в дорожном транспорте.
С продолжающимся прогрессом в компьютерной автоматизации характер человеческих задач в современных технологических системах меняется от задач, требующих перцептивно-моторных навыков, к задачам, требующим когнитивной деятельности, которые необходимы для решения проблем, принятия решений при мониторинге системы и для задачи диспетчерского контроля. Например, люди-операторы в компьютеризированных производственных системах в основном действуют как системные мониторы, решают проблемы и принимают решения. Когнитивная деятельность человека-руководителя в любой среде HAS заключается в (1) планировании того, что следует делать в течение заданного периода времени, (2) разработке процедур (или шагов) для достижения набора запланированных целей, (3) мониторинге прогресса. (технологических) процессов, (4) «обучение» системы через человеко-интерактивный компьютер, (5) вмешательство, если система ведет себя ненормально или если меняются приоритеты управления, и (6) обучение через обратную связь от системы о воздействии надзорные действия (Шеридан, 1987).
Гибридная система
Взаимодействие человека и машины в HAS включает использование динамических коммуникационных циклов между людьми-операторами и интеллектуальными машинами — процесс, который включает в себя получение и обработку информации, а также инициирование и выполнение задач управления и принятие решений — в рамках заданной структуры распределения функций между люди и машины. Как минимум, взаимодействие между людьми и автоматизацией должно отражать высокую сложность гибридных автоматизированных систем, а также соответствующие характеристики людей-операторов и требования к задачам. Таким образом, гибридная автоматизированная система формально может быть определена как пятерка в следующей формуле:
ЕСТЬ = (Т, У, С, Е, И)
в котором T = требования к задаче (физические и когнитивные); U = характеристики пользователя (физические и когнитивные); C = характеристики автоматизации (аппаратное и программное обеспечение, включая компьютерные интерфейсы); E = среда системы; I = набор взаимодействий между вышеуказанными элементами.
Набор взаимодействий I воплощает в себе все возможные взаимодействия между T, U и C in E независимо от их характера или силы связи. Например, одно из возможных взаимодействий может включать связь данных, хранящихся в памяти компьютера, с соответствующими знаниями, если таковые имеются, у человека-оператора. Взаимодействия I может быть элементарным (т. е. ограниченным взаимно-однозначной ассоциацией) или сложным, например, включать взаимодействие между человеком-оператором, конкретным программным обеспечением, используемым для выполнения желаемой задачи, и доступным физическим интерфейсом с компьютером.
Разработчики многих гибридных автоматизированных систем сосредотачиваются в первую очередь на автоматизированной интеграции сложных машин и другого оборудования как части компьютерной технологии, редко уделяя большое внимание первостепенной необходимости эффективной интеграции человека в такие системы. Поэтому в настоящее время многие компьютерно-интегрированные (технологические) системы не полностью совместимы с присущими человеку возможностями, выражающимися в навыках и знаниях, необходимых для эффективного управления и мониторинга этих систем. Такая несовместимость возникает на всех уровнях человеческого, машинного и человеко-машинного функционирования и может быть определена в рамках отдельного человека и всей организации или объекта. Например, проблемы интеграции людей и технологий на передовых производственных предприятиях возникают на ранней стадии проектирования HAS. Эти проблемы могут быть концептуализированы с использованием следующей модели системной интеграции сложности взаимодействий: I, между разработчиками системы, D, операторы, H, или потенциальные пользователи системы и технологии, T:
Я (Ч, Т) = Ф [ Я (Ч, Д), Я (Д, Т)]
в котором I обозначает соответствующие взаимодействия, происходящие в данной структуре HAS, в то время как F указывает на функциональные отношения между дизайнерами, людьми-операторами и технологиями.
Приведенная выше модель системной интеграции подчеркивает тот факт, что взаимодействие между пользователями и технологией определяется результатом интеграции двух предыдущих взаимодействий, а именно (1) взаимодействия между разработчиками HAS и потенциальными пользователями и (2) взаимодействия между разработчиками. и технология HAS (на уровне машин и их интеграции). Следует отметить, что, хотя между проектировщиками и технологиями обычно существует тесное взаимодействие, можно найти очень мало примеров столь же прочных взаимосвязей между проектировщиками и людьми-операторами.
Можно утверждать, что даже в самых автоматизированных системах роль человека остается решающей для успешной работы системы на операционном уровне. Bainbridge (1983) определил ряд проблем, связанных с работой HAS, которые связаны с природой самой автоматизации, а именно:
Распределение задач
Одним из важных вопросов при проектировании HAS является определение того, сколько и какие функции или обязанности должны быть возложены на людей-операторов, а какие и сколько — на компьютеры. Как правило, следует рассматривать три основных класса проблем распределения задач: (1) распределение задач между человеком и компьютером, (2) распределение задач между человеком и (3) распределение задач между управляющим компьютером и компьютером. В идеале решения о распределении должны приниматься с помощью некоторой структурированной процедуры распределения до того, как будет начато базовое проектирование системы. К сожалению, такой систематический процесс редко возможен, поскольку функции, которые должны быть распределены, могут либо нуждаться в дальнейшем изучении, либо должны выполняться в интерактивном режиме между человеческими и машинными компонентами системы, то есть посредством применения парадигмы диспетчерского управления. Распределение задач в гибридных автоматизированных системах должно быть сосредоточено на степени ответственности человека и компьютера и должно учитывать характер взаимодействия между человеком-оператором и компьютеризированными системами поддержки принятия решений. Следует также учитывать средства передачи информации между машинами и человеческими интерфейсами ввода-вывода и совместимость программного обеспечения с когнитивными способностями человека решать проблемы.
В традиционных подходах к проектированию и управлению гибридными автоматизированными системами работники рассматривались как детерминированные системы ввода-вывода, и существовала тенденция игнорировать телеологическую природу человеческого поведения, то есть целенаправленное поведение, основанное на приобретении соответствующую информацию и выбор целей (Гудштейн и др., 1988). Чтобы добиться успеха, проектирование и управление передовыми гибридными автоматизированными системами должно основываться на описании психических функций человека, необходимых для выполнения конкретной задачи. Подход «когнитивной инженерии» (более подробно описанный ниже) предполагает, что человеко-машинные (гибридные) системы должны быть задуманы, спроектированы, проанализированы и оценены с точки зрения человеческих мыслительных процессов (т.е. мысленная модель адаптивных систем оператора принимается во внимание). учетная запись). Ниже приведены требования ориентированного на человека подхода к проектированию и эксплуатации HAS, сформулированные Корбеттом (1988):
Когнитивная инженерия человеческого фактора
Когнитивная инженерия человеческого фактора фокусируется на том, как люди-операторы принимают решения на рабочем месте, решают проблемы, формулируют планы и осваивают новые навыки (Hollnagel and Woods, 1983). Роли людей-операторов, функционирующих в любой HAS, можно разделить по схеме Расмуссена (1983) на три основные категории:
При проектировании и управлении HAS следует учитывать когнитивные характеристики работников, чтобы обеспечить совместимость работы системы с внутренней моделью работника, описывающей его функции. Следовательно, уровень описания системы должен быть смещен с основанного на навыках на основанный на правилах и знаниях аспект функционирования человека, а для идентификации операторской модели системы должны использоваться соответствующие методы анализа когнитивных задач. Смежным вопросом при разработке HAS является проектирование средств передачи информации между человеком-оператором и компонентами автоматизированной системы как на физическом, так и на когнитивном уровнях. Такая передача информации должна быть совместима со способами передачи информации, используемыми на разных уровнях работы системы, т. е. визуальным, вербальным, тактильным или гибридным. Эта информационная совместимость гарантирует, что различные формы передачи информации потребуют минимальной несовместимости между средой и характером информации. Например, визуальный дисплей лучше всего подходит для передачи пространственной информации, тогда как слуховой ввод может использоваться для передачи текстовой информации.
Довольно часто человек-оператор разрабатывает внутреннюю модель, которая описывает работу и функции системы в соответствии с его или ее опытом, обучением и инструкциями в связи с данным типом человеко-машинного интерфейса. В свете этой реальности разработчики HAS должны попытаться встроить в машины (или другие искусственные системы) модель физических и когнитивных характеристик человека-оператора, то есть системный образ оператора (Hollnagel and Woods, 1983). . Разработчики HAS также должны учитывать уровень абстракции в описании системы, а также различные соответствующие категории поведения человека-оператора. Эти уровни абстракции для моделирования человеческого функционирования в рабочей среде следующие (Расмуссен, 1983): (1) физическая форма (анатомическая структура), (2) физические функции (физиологические функции), (3) обобщенные функции (психологические механизмы и когнитивные функции). и аффективные процессы), (4) абстрактные функции (обработка информации) и (5) функциональное назначение (ценностные структуры, мифы, религии, человеческие взаимодействия). Эти пять уровней должны учитываться разработчиками одновременно, чтобы обеспечить эффективную работу HAS.
Дизайн системного программного обеспечения
Поскольку компьютерное программное обеспечение является основным компонентом любой среды HAS, разработка программного обеспечения, включая проектирование, тестирование, эксплуатацию и модификацию, а также вопросы надежности программного обеспечения также должны учитываться на ранних стадиях разработки HAS. Таким образом, можно снизить стоимость обнаружения и устранения ошибок в программном обеспечении. Однако трудно оценить надежность человеческих компонентов HAS из-за ограничений нашей способности моделировать выполнение задач человеком, связанную с этим рабочую нагрузку и возможные ошибки. Чрезмерная или недостаточная умственная нагрузка может привести к информационной перегрузке и скуке, соответственно, и может привести к снижению работоспособности человека, что приведет к ошибкам и увеличению вероятности несчастных случаев. Разработчики HAS должны использовать адаптивные интерфейсы, использующие методы искусственного интеллекта, для решения этих проблем. В дополнение к совместимости человека и машины необходимо учитывать вопрос адаптации человека и машины друг к другу, чтобы снизить уровень стресса, который возникает, когда человеческие возможности могут быть превышены.
Из-за высокого уровня сложности многих гибридных автоматизированных систем выявление любых потенциальных опасностей, связанных с аппаратным обеспечением, программным обеспечением, операционными процедурами и взаимодействием человека и машины этих систем, становится критически важным для успеха усилий, направленных на снижение травматизма и повреждения оборудования. . Угрозы безопасности и здоровью, связанные со сложными гибридными автоматизированными системами, такими как компьютерно-интегрированные производственные технологии (CIM), безусловно, являются одним из наиболее важных аспектов проектирования и эксплуатации системы.
Проблемы безопасности системы
Гибридные автоматизированные среды с их значительным потенциалом неустойчивого поведения управляющего программного обеспечения в условиях системных возмущений создают риск аварий нового поколения. По мере того как гибридные автоматизированные системы становятся все более универсальными и сложными, системные помехи, в том числе проблемы с запуском и остановом, а также отклонения в управлении системой, могут значительно повысить вероятность серьезной опасности для людей-операторов. По иронии судьбы, во многих нештатных ситуациях операторы обычно полагаются на надлежащее функционирование автоматизированных подсистем безопасности, что может увеличить риск серьезных травм. Например, изучение аварий, связанных с неисправностями технических систем управления, показало, что около трети аварийных последовательностей включало вмешательство человека в контур управления нарушенной системы.
Поскольку традиционные меры безопасности не могут быть легко адаптированы к потребностям среды HAS, необходимо пересмотреть стратегии контроля травматизма и предотвращения несчастных случаев с учетом присущих этим системам характеристик. Например, в области передовых производственных технологий многие процессы характеризуются наличием значительных потоков энергии, которые не могут быть легко предвидены людьми-операторами. Более того, проблемы с безопасностью обычно возникают на интерфейсах между подсистемами или когда системные возмущения переходят от одной подсистемы к другой. Согласно Международной организации по стандартизации (ISO 1991), риски, связанные с опасностями, связанными с промышленной автоматизацией, различаются в зависимости от типов промышленных машин, включенных в конкретную производственную систему, и способов установки, программирования, эксплуатации и обслуживания системы. и отремонтировано. Например, сравнение несчастных случаев, связанных с роботами, в Швеции с другими типами несчастных случаев показало, что роботы могут быть наиболее опасными промышленными машинами, используемыми в передовой производственной промышленности. Расчетная частота несчастных случаев с промышленными роботами составляла одну серьезную аварию на 45 робото-лет, что выше, чем у промышленных прессов, которые, как сообщалось, составляли одну аварию на 50 машино-лет. Здесь следует отметить, что на промышленные прессы в Соединенных Штатах приходилось около 23% всех смертельных случаев, связанных с металлообрабатывающими станками, за период 1980–1985 гг., при этом механические прессы занимали первое место по соотношению тяжесть-частота несмертельных травм.
В области передовых производственных технологий существует множество движущихся частей, которые представляют опасность для рабочих, поскольку они сложным образом меняют свое положение вне поля зрения человека-оператора. Быстрое технологическое развитие компьютеризированного производства создало острую потребность в изучении влияния передовых производственных технологий на рабочих. Для выявления опасностей, вызванных различными компонентами такой среды ГАС, необходимо тщательно проанализировать прошлые аварии. К сожалению, несчастные случаи, связанные с использованием роботов, трудно отделить от сообщений о несчастных случаях, связанных с машинами, управляемыми людьми, и, следовательно, может быть высокий процент незарегистрированных несчастных случаев. Правила охраны труда и техники безопасности Японии гласят, что «промышленные роботы в настоящее время не имеют надежных средств безопасности, и рабочие не могут быть защищены от них, если их использование не регулируется». Например, результаты исследования, проведенного Министерством труда Японии (Sugimoto 1987) несчастных случаев, связанных с промышленными роботами на 190 обследованных фабриках (с 4,341 рабочим роботом), показали, что было 300 нарушений, связанных с роботами, из которых 37 случаев небезопасных действий привели к несчастным случаям, 9 несчастным случаям с травмами и 2 несчастным случаям со смертельным исходом. Результаты других исследований показывают, что компьютеризированная автоматизация не обязательно повышает общий уровень безопасности, поскольку аппаратное обеспечение системы не может быть обеспечено отказоустойчивостью только за счет функций безопасности в компьютерном программном обеспечении, а системные контроллеры не всегда отличаются высокой надежностью. Кроме того, в сложной HAS нельзя полагаться исключительно на датчики безопасности для обнаружения опасных условий и принятия соответствующих стратегий предотвращения опасностей.
Влияние автоматизации на здоровье человека
Как обсуждалось выше, действия рабочих во многих средах HAS в основном связаны с диспетчерским контролем, мониторингом, поддержкой и обслуживанием системы. Эти виды деятельности также можно разделить на четыре основные группы следующим образом: (1) задачи программирования, т. е. кодирование информации, которая направляет и управляет работой оборудования, (2) мониторинг компонентов производства и управления HAS, (3) техническое обслуживание компонентов HAS для предотвращения или устранять сбои в работе оборудования и (4) выполнять различные вспомогательные задачи и т. д. Многие недавние обзоры влияния HAS на самочувствие рабочих пришли к выводу, что, хотя использование HAS на производстве может устранить тяжелые и опасные задачи , работа в среде HAS может быть неудовлетворительной и напряженной для работников. Источники стресса включали постоянный мониторинг, необходимый во многих приложениях HAS, ограниченный объем выделенных действий, низкий уровень взаимодействия работников, разрешенный конструкцией системы, и угрозы безопасности, связанные с непредсказуемым и неконтролируемым характером оборудования. Несмотря на то, что некоторые работники, участвующие в программировании и техническом обслуживании, ощущают элементы трудностей, которые могут положительно сказаться на их самочувствии, эти последствия часто нивелируются сложным и требовательным характером этих действий, а также давлением. усилия руководства для скорейшего завершения этих мероприятий.
Хотя в некоторых средах HAS люди-операторы удалены от традиционных источников энергии (потока работы и движения машины) в нормальных условиях эксплуатации, многие задачи в автоматизированных системах по-прежнему необходимо выполнять в прямом контакте с другими источниками энергии. Поскольку количество различных компонентов HAS постоянно увеличивается, особое внимание должно уделяться комфорту и безопасности рабочих, а также разработке эффективных мер по контролю травматизма, особенно с учетом того факта, что рабочие больше не в состоянии идти в ногу с сложности и сложности таких систем.
Чтобы удовлетворить текущие потребности в области контроля травматизма и безопасности работников в компьютеризированных интегрированных производственных системах, Комитет ИСО по системам промышленной автоматизации предложил новый стандарт безопасности под названием «Безопасность интегрированных производственных систем» (1991 г.). Этот новый международный стандарт, разработанный с учетом особых опасностей, существующих в интегрированных производственных системах, включающих промышленные машины и сопутствующее оборудование, направлен на минимизацию возможности получения травм персоналом во время работы в интегрированной производственной системе или рядом с ней. Основные источники потенциальных опасностей для людей-операторов в CIM, определенные настоящим стандартом, показаны на рисунке 1.
Рисунок 1. Основной источник опасностей в автоматизированном производстве (CIM) (после ISO 1991)
Человеческие и системные ошибки
Как правило, опасности в HAS могут возникать из-за самой системы, из-за ее связи с другим оборудованием, присутствующим в физической среде, или из-за взаимодействия человеческого персонала с системой. Несчастный случай — это лишь один из нескольких результатов взаимодействия человека и машины, которые могут возникнуть в опасных условиях; несчастные случаи и повреждения случаются гораздо чаще (Zimolong and Duda, 1992). Возникновение ошибки может привести к одному из следующих последствий: (1) ошибка остается незамеченной, (2) система может компенсировать ошибку, (3) ошибка приводит к поломке машины и/или остановке системы или (4) ) ошибка приводит к аварии.
Поскольку не каждая человеческая ошибка, которая приводит к критическому происшествию, приводит к реальному происшествию, уместно проводить дальнейшее разграничение между категориями результатов следующим образом: (1) небезопасный инцидент (т. е. любое непреднамеренное происшествие, независимо от того, приводит ли оно к травме, повреждению или убыток), (2) несчастный случай (т. е. небезопасное событие, повлекшее за собой травмы, ущерб или убытки), (3) происшествие с ущербом (т. е. небезопасное событие, которое приводит только к некоторому материальному ущербу), (4) предаварийное происшествие или «промах» (т. е. небезопасное событие, при котором травмы, ущерб или потери удалось избежать с небольшим отрывом) и (5) наличие возможности аварийного происшествия (т. е. небезопасные события, которые могли привести к травмам, повреждению , либо убыток, но в силу обстоятельств не повлекший даже близкой аварии).
В HAS можно выделить три основных типа человеческих ошибок:
Эта таксономия, разработанная Ризоном (1990), основана на модификации классификации человеческой деятельности Расмуссена «навыки-правила-знания», как описано выше. На уровне навыков человеческая деятельность управляется сохраненными шаблонами заранее запрограммированных инструкций, представленных в виде аналоговых структур в пространственно-временной области. Уровень, основанный на правилах, применим для решения знакомых проблем, в которых решения регулируются сохраненными правилами (называемыми «продукциями», поскольку к ним обращаются или они создаются по мере необходимости). Эти правила требуют постановки определенных диагнозов (или суждений) или принятия определенных мер по исправлению положения, если возникли определенные условия, требующие соответствующего реагирования. На этом уровне человеческие ошибки обычно связаны с неправильной классификацией ситуаций, что приводит либо к применению неправильного правила, либо к неправильному воспроизведению последующих суждений или процедур. Ошибки, основанные на знаниях, возникают в новых ситуациях, для которых действия необходимо планировать «онлайн» (в данный момент), используя сознательные аналитические процессы и накопленные знания. Ошибки на этом уровне возникают из-за ограниченности ресурсов и неполных или неправильных знаний.
Общие системы моделирования ошибок (GEMS), предложенные Reason (1990), в которых делается попытка локализовать источники основных типов человеческих ошибок, могут быть использованы для получения общей таксономии человеческого поведения в HAS. GEMS стремится объединить две отдельные области исследования ошибок: (1) промахи и упущения, при которых действия отклоняются от текущего намерения из-за сбоев выполнения и/или сбоев хранения, и (2) ошибки, при которых действия могут выполняться в соответствии с планом, но план недостаточен для достижения желаемого результата.
Оценка и предотвращение рисков в CIM
Согласно ISO (1991 г.), оценка риска в CIM должна выполняться таким образом, чтобы свести к минимуму все риски и служить основой для определения целей и мер безопасности при разработке программ или планов как для создания безопасной рабочей среды, так и для обеспечения а также безопасность и здоровье персонала. Например, производственные опасности в производственной среде HAS можно охарактеризовать следующим образом: (1) человеку-оператору может потребоваться войти в опасную зону во время устранения неполадок, выполнения задач обслуживания и технического обслуживания, (2) опасную зону трудно определить, воспринимать и контролировать, (3) работа может быть монотонной и (4) несчастные случаи, происходящие в автоматизированных производственных системах, часто бывают серьезными. Каждая идентифицированная опасность должна быть оценена на предмет связанного с ней риска, и должны быть определены и реализованы соответствующие меры безопасности для минимизации этого риска. Опасности также должны быть установлены в отношении всех следующих аспектов любого данного процесса: самого отдельного устройства; взаимодействие между отдельными единицами; рабочие разделы системы; и работу всей системы во всех предусмотренных рабочих режимах и условиях, включая условия, при которых обычные средства защиты приостанавливаются для таких операций, как программирование, проверка, поиск и устранение неисправностей, техническое обслуживание или ремонт.
Этап разработки стратегии безопасности ISO (1991) для CIM включает:
Спецификация безопасности системы должна включать:
В соответствии с ISO (1991) все необходимые требования для обеспечения безопасной работы системы CIM необходимо учитывать при разработке процедур систематического планирования безопасности. Это включает в себя все защитные меры для эффективного снижения опасностей и требует:
Процедура планирования безопасности должна охватывать, среди прочего, следующие вопросы безопасности CIM:
Системный контроль помех
Во многих установках HAS, используемых в области производства с компьютерной интеграцией, операторы обычно необходимы для управления, программирования, технического обслуживания, предварительной настройки, обслуживания или устранения неполадок. Нарушения в системе приводят к ситуациям, требующим выхода рабочих в опасные зоны. В этом отношении можно предположить, что помехи остаются наиболее важной причиной вмешательства человека в CIM, поскольку системы чаще всего будут программироваться из-за пределов ограниченных зон. Одним из наиболее важных вопросов безопасности CIM является предотвращение помех, поскольку большинство рисков возникает на этапе устранения неполадок в системе. Предотвращение помех является общей целью как с точки зрения безопасности, так и экономической эффективности.
Возмущение в системе CIM — это состояние или функция системы, которая отклоняется от запланированного или желаемого состояния. Помимо производительности, помехи при работе CIM напрямую влияют на безопасность людей, участвующих в эксплуатации системы. Исследование, проведенное в Финляндии (Kuivanen, 1990), показало, что около половины сбоев в автоматизированном производстве снижают безопасность рабочих. Основными причинами нарушений были ошибки в конструкции системы (34%), отказы компонентов системы (31%), человеческий фактор (20%) и внешние факторы (15%). Большинство отказов машин было вызвано системой управления, а в системе управления большинство отказов произошло в датчиках. Эффективным способом повышения уровня безопасности установок CIM является уменьшение количества помех. Хотя действия человека в возмущенных системах предотвращают возникновение аварий в среде ГАС, они также способствуют им. Например, изучение аварий, связанных с неисправностями технических систем управления, показало, что около трети аварийных последовательностей включало вмешательство человека в контур управления нарушенной системы.
Основные вопросы исследования предотвращения нарушений CIM касаются (1) основных причин нарушений, (2) ненадежных компонентов и функций, (3) влияния нарушений на безопасность, (4) воздействия нарушений на функцию системы, ( 5) материальный ущерб и (6) ремонт. Безопасность HAS следует планировать на ранней стадии проектирования системы с должным учетом технологий, людей и организации, и она должна быть неотъемлемой частью общего процесса технического планирования HAS.
HAS Design: Будущие вызовы
Чтобы обеспечить максимальную отдачу от гибридных автоматизированных систем, как обсуждалось выше, необходимо гораздо более широкое видение развития системы, основанное на интеграции людей, организаций и технологий. Здесь следует применять три основных типа системной интеграции:
Минимальные требования к проектированию гибридных автоматизированных систем должны включать следующее: (1) гибкость, (2) динамическая адаптация, (3) повышенная скорость реагирования и (4) необходимость мотивировать людей и лучше использовать их навыки, суждения и опыт. . Вышеизложенное также требует, чтобы организационные структуры, методы работы и технологии HAS были разработаны, чтобы люди на всех уровнях системы могли адаптировать свои рабочие стратегии к разнообразным ситуациям управления системами. Следовательно, организации, методы работы и технологии HAS должны быть спроектированы и разработаны как открытые системы (Kidd 1994).
Открытая гибридная автоматизированная система (OHAS) — это система, которая получает входные данные и отправляет выходные данные в свою среду. Идею открытой системы можно применять не только к системным архитектурам и организационным структурам, но и к методам работы, интерфейсам человек-компьютер и отношениям между людьми и технологиями: можно упомянуть, например, системы планирования, системы управления и системы поддержки принятия решений. Открытая система также является адаптивной, когда она предоставляет людям большую степень свободы в определении режима работы системы. Например, в области передового производства требования открытой гибридной автоматизированной системы могут быть реализованы с помощью концепции человеко-компьютерное производство (ХИМ). С этой точки зрения, разработка технологии должна учитывать общую архитектуру системы HCIM, включая следующее: (1) рассмотрение сети групп, (2) структуру каждой группы, (3) взаимодействие между группами, (4) характер вспомогательного программного обеспечения и (5) потребности в технической связи и интеграции между вспомогательными программными модулями.
Адаптивная гибридная автоматизированная система, в отличие от закрытой системы, не ограничивает возможности человека-оператора. Роль разработчика HAS состоит в том, чтобы создать систему, которая удовлетворит личные предпочтения пользователя и позволит пользователям работать так, как они считают наиболее подходящим. Необходимым условием для разрешения ввода данных пользователем является разработка методологии адаптивного проектирования, то есть OHAS, которая позволяет использовать компьютерную технологию для ее реализации в процессе проектирования. Необходимость разработки методологии адаптивного проектирования является одним из неотложных требований для практической реализации концепции OHAS. Также необходимо разработать новый уровень адаптивной технологии диспетчерского управления человеком. Такая технология должна позволять человеку-оператору «видеть сквозь» невидимую иначе систему управления функционированием ГАС, например, путем применения интерактивной высокоскоростной видеосистемы в каждой точке управления и работы системы. Наконец, очень необходима методология разработки интеллектуальной и высокоадаптивной компьютерной поддержки человеческих ролей и функционирования человека в гибридных автоматизированных системах.
Общепризнано, что системы управления должны быть безопасными во время использования. С учетом этого большинство современных систем управления спроектированы так, как показано на рисунке 1.
Рис. 1. Общий вид систем управления
Самый простой способ обезопасить систему управления — возвести вокруг нее непроницаемую стену, чтобы предотвратить доступ человека или вмешательство в опасную зону. Такая система была бы очень безопасной, хотя и непрактичной, поскольку к ней невозможно было бы получить доступ для выполнения большинства работ по тестированию, ремонту и наладке. Поскольку доступ к опасным зонам должен быть разрешен при определенных условиях, для облегчения производства, установки, обслуживания и технического обслуживания требуются другие защитные меры, помимо стен, ограждений и т.п.
Некоторые из этих защитных мер могут быть частично или полностью интегрированы в системы управления, а именно:
Эти виды защитных мер активируются операторами. Однако, поскольку люди часто представляют собой слабое место в приложениях, многие функции, такие как следующие, выполняются автоматически:
Нормальная работа систем управления является важнейшей предпосылкой производства. Если производственная функция прерывается из-за отказа системы управления, это в лучшем случае неудобно, но не опасно. Если функция, связанная с безопасностью, не выполняется, это может привести к остановке производства, повреждению оборудования, травмам или даже смерти. Следовательно, важные для безопасности функции системы управления должны быть более надежными и безопасными, чем обычные функции системы управления. В соответствии с Директивой Европейского Совета 89/392/EEC (Руководство по машинам) системы управления должны быть спроектированы и изготовлены таким образом, чтобы они были безопасными и надежными.
Элементы управления состоят из ряда компонентов, соединенных вместе для выполнения одной или нескольких функций. Элементы управления подразделяются на каналы. Канал — это часть управления, выполняющая определенную функцию (например, пуск, останов, аварийный останов). Физически канал создается набором компонентов (транзисторов, диодов, реле, вентилей и т. д.), через которые от одного компонента к другому передается (в основном электрическая) информация, представляющая эту функцию, от входа к выходу.
При проектировании каналов управления для функций, связанных с безопасностью (тех функций, в которых участвует человек), должны выполняться следующие требования:
Надежность
Надежность это способность канала управления или компонента выполнять требуемую функцию в заданных условиях в течение заданного периода времени без провала. (Вероятность для конкретных компонентов или каналов управления можно рассчитать с помощью подходящих методов.) Надежность всегда должна указываться для определенного значения времени. В общем случае надежность можно выразить формулой на рисунке 2.
Рисунок 2. Формула надежности
Надежность сложных систем
Системы строятся из компонентов. Зная надежность компонентов, можно рассчитать надежность системы в целом. В таких случаях применяется следующее:
Серийные системы
Суммарная надежность Rкарапуз последовательной системы, состоящей из N компонентов одинаковой надежности RC рассчитывается как на рисунке 3.
Рис. 3. График надежности последовательно соединенных компонентов
Общая надежность ниже, чем надежность наименее надежного компонента. С увеличением количества последовательно соединенных компонентов общая надежность цепи значительно падает.
Параллельные системы
Суммарная надежность Rкарапуз параллельной системы, состоящей из N компонентов одинаковой надежности RC рассчитывается как на рисунке 4.
Рис. 4. График надежности параллельно соединенных компонентов
Общая надежность может быть значительно повышена за счет параллельного соединения двух или более компонентов.
Рисунок 5 иллюстрирует практический пример. Обратите внимание, что схема отключит двигатель более надежно. Даже если реле А или В не разомкнет свои контакты, двигатель все равно будет выключен.
Рисунок 5. Практический пример рисунка 4
Рассчитать общую надежность канала просто, если известны и доступны все необходимые надежности компонентов. В случае сложных компонентов (интегральные схемы, микропроцессоры и т. д.) расчет общей надежности затруднен или невозможен, если необходимая информация не опубликована изготовителем.
Безопасность
Когда профессионалы говорят о безопасности и призывают к безопасным машинам, они имеют в виду безопасность всей машины или системы. Однако эта безопасность носит слишком общий характер и недостаточно точно определена для разработчика средств управления. Следующее определение безопасность может быть практичным и полезным для разработчиков схем управления: безопасность — это способность системы управления выполнять требуемую функцию в заданных пределах в течение заданного времени, даже при возникновении ожидаемых отказов. Следовательно, при проектировании необходимо уточнить, насколько «безопасным» должен быть канал, связанный с безопасностью. (Проектировщик может разработать канал, защищенный от первого отказа, от любого одного отказа, от двух отказов и т. д.). быть неизбежно защищенным от неудач. Лучше всего это можно пояснить на следующих примерах:
Пример 1
Пример, показанный на рисунке 6, представляет собой важный для безопасности канал управления, выполняющий требуемую функцию безопасности. Первым компонентом может быть переключатель, контролирующий, например, положение двери доступа в опасную зону. Последним компонентом является двигатель, который приводит в движение движущиеся механические части в опасной зоне.
Рисунок 6. Важный для безопасности канал управления, выполняющий требуемую функцию безопасности
Требуемая функция безопасности в этом случае двойная: если дверь закрыта, двигатель может работать. Если дверь открыта, двигатель должен быть выключен. Зная надежность R1 к р6, можно рассчитать надежность Rкарапуз. Разработчики должны использовать надежные компоненты, чтобы поддерживать достаточно высокую надежность всей системы управления (т. е. вероятность того, что эта функция все еще может выполняться, скажем, даже через 20 лет, должна быть учтена при проектировании). В результате проектировщики должны решить две задачи: (1) схема должна выполнять требуемую функцию и (2) надежность компонентов и всего канала управления должна быть адекватной.
Теперь следует задать следующий вопрос: будет ли вышеупомянутый канал выполнять требуемые функции безопасности, даже если в системе произойдет отказ (например, если контакт реле залипнет или компонент выйдет из строя)? Ответ - нет". Причина в том, что единый канал управления, состоящий только из последовательно соединенных компонентов и работающий со статическими сигналами, не застрахован от одного отказа. Канал может иметь только определенную надежность, гарантирующую вероятность выполнения функции. В таких ситуациях под безопасностью всегда подразумевают связанные с отказом.
Пример 2
Если канал управления должен быть одновременно надежным и безопасным, его конструкция должна быть изменена, как показано на рис. 7. Проиллюстрированный пример представляет собой важный для безопасности канал управления, состоящий из двух полностью разделенных подканалов.
Рис. 7. Важный для безопасности канал управления с двумя полностью отдельными подканалами
Эта конструкция защищена от первого отказа (и возможных последующих отказов в одном и том же подканале), но не застрахована от двух отказов, которые могут произойти в двух разных подканалах (одновременно или в разное время), поскольку отсутствует схема обнаружения отказа. Следовательно, изначально оба подканала работают с высокой надежностью (см. параллельную систему), но после первого отказа будет работать только один подканал, и надежность снижается. Если во все еще работающем субканале произойдет второй отказ, то оба будут неисправны, и функция безопасности больше не будет выполняться.
Пример 3
Пример, показанный на рисунке 8, представляет собой важный для безопасности канал управления, состоящий из двух полностью отдельных подканалов, которые контролируют друг друга.
Рисунок 8. Важный для безопасности канал управления с двумя полностью отдельными подканалами, которые контролируют друг друга
Такая конструкция является отказоустойчивой, поскольку после любого отказа только один подканал будет неработоспособен, а другой подканал останется доступным и будет выполнять функцию безопасности. Кроме того, в конструкции предусмотрена схема обнаружения отказа. Если из-за сбоя оба подканала не работают одинаково, это состояние будет обнаружено схемой «исключающее ИЛИ», в результате чего машина будет автоматически отключена. Это один из лучших способов проектирования элементов управления машиной — разработка подканалов, важных для безопасности. Они защищены от одного отказа и в то же время обеспечивают достаточную надежность, так что шансы одновременного возникновения двух отказов ничтожно малы.
избыточность
Очевидно, что существуют различные методы, с помощью которых разработчик может повысить надежность и/или безопасность (от отказов). Предыдущие примеры иллюстрируют, как функция (например, дверь закрыта, двигатель может работать; дверь открыта, двигатель должен быть остановлен) может быть реализована с помощью различных решений. Одни методы очень простые (один подканал), другие более сложные (два подканала с взаимным контролем). (См. рис. 9.)
Рис. 9. Надежность резервированных систем с обнаружением отказов или без них
В сложных схемах и/или компонентах есть определенная избыточность по сравнению с простыми. избыточность можно определить следующим образом: (1) Резервирование – это наличие большего количества средств (компонентов, каналов, повышенных коэффициентов запаса, дополнительных испытаний и т. д.), чем это действительно необходимо для простого выполнения требуемой функции; (2) избыточность явно не «улучшает» функцию, которая и так выполняется. Избыточность только повышает надежность и/или безопасность.
Некоторые специалисты по безопасности считают, что избыточность — это всего лишь удвоение, утроение и т. д. системы. Это очень ограниченная интерпретация, поскольку избыточность может интерпретироваться гораздо шире и гибче. Избыточность может быть не только включена в оборудование; он также может быть включен в программное обеспечение. Улучшение коэффициента безопасности (например, более прочная веревка вместо более слабой) также может рассматриваться как форма избыточности.
Энтропия
Энтропия, термин, встречающийся в основном в термодинамике и астрономии, можно определить следующим образом: Все имеет тенденцию к распаду. Поэтому абсолютно точно, что все компоненты, подсистемы или системы, независимо от используемой технологии, когда-нибудь выйдут из строя. Это означает, что не существует 100% надежных и/или безопасных систем, подсистем или компонентов. Все они просто более или менее надежны и безопасны в зависимости от сложности конструкции. Неудачи, неизбежно возникающие раньше или позже, демонстрируют действие энтропии.
Единственным средством, доступным разработчикам для противодействия энтропии, является избыточность, которая достигается за счет (а) повышения надежности компонентов и (б) обеспечения большей безопасности во всей схемной архитектуре. Только достаточно повысив вероятность того, что требуемая функция будет выполняться в течение требуемого периода времени, проектировщики могут в какой-то степени защититься от энтропии.
Оценка риска
Чем выше потенциальный риск, тем выше требуемая надежность и/или безопасность (от отказов) (и наоборот). Это иллюстрируется следующими двумя случаями:
Кейс 1
Доступ к пресс-форме, закрепленной в машине для литья под давлением, защищен дверью. Если дверь закрыта, машина может работать, а если дверь открыта, все опасные движения должны быть остановлены. Ни при каких обстоятельствах (даже при отказе в канале, связанном с безопасностью) не должно происходить каких-либо движений, особенно тех, которые приводят в действие инструмент.
Кейс 2
Доступ к автоматически управляемой сборочной линии, которая собирает небольшие пластиковые компоненты под пневматическим давлением, защищен дверью. Если эта дверь открыта, линию придется остановить.
В случае 1, если система контроля за дверью выйдет из строя, возможны серьезные травмы, если инструмент неожиданно закроется. В случае 2 отказ системы контроля двери может привести лишь к легкой травме или незначительному ущербу.
Очевидно, что в первом случае для достижения надежности и/или безопасности (от отказов), необходимых для защиты от экстремально высокого риска, требуется гораздо больше резервирования. Фактически, в соответствии с европейским стандартом EN 201, система контроля двери машины для литья под давлением должна иметь три канала; два из которых являются электрическими и взаимоконтролируемыми, а один из них в основном оснащен гидравликой и испытательными схемами. Все эти три надзорные функции относятся к одной и той же двери.
И наоборот, в приложениях, подобных описанному в Случае 2, один канал, активируемый переключателем с положительным действием, соответствует риску.
Категории управления
Поскольку все вышеизложенные соображения в основном основаны на теории информации и, следовательно, справедливы для всех технологий, не имеет значения, основана ли система управления на электронных, электромеханических, механических, гидравлических или пневматических компонентах (или их смеси). , или по какой-то другой технологии. Изобретательность проектировщика, с одной стороны, и экономические вопросы, с другой стороны, являются основными факторами, влияющими на почти бесконечное количество решений о том, как реализовать каналы, важные для безопасности.
Чтобы избежать путаницы, целесообразно установить определенные критерии сортировки. Наиболее типичные структуры каналов, используемые в системах управления машинами для выполнения функций, связанных с безопасностью, классифицируются в соответствии с:
Их комбинации (показаны не все возможные комбинации) представлены в таблице 1.
Таблица 1. Некоторые возможные комбинации схемных структур в органах управления машиной для функций, связанных с безопасностью
Критерии (вопросы) |
Базовая стратегия |
|||||
Повышая надежность (смещается ли возникновение отказов, возможно, в далекое будущее?) |
Благодаря подходящей структуре схемы (архитектуре) сбой будет как минимум обнаружен (категория 2), или влияние сбоя на канал будет устранено (категория 3), или сбой будет обнаружен немедленно (категория 4). |
|||||
Категории |
||||||
Это решение в корне неверно |
B |
1 |
2 |
3 |
4 |
|
Могут ли компоненты схемы выдержать ожидаемые воздействия; они построены в соответствии с современным уровнем техники? |
Нет |
Да |
Да |
Да |
Да |
Да |
Были ли использованы проверенные компоненты и/или методы? |
Нет |
Нет |
Да |
Да |
Да |
Да |
Может ли неисправность быть обнаружена автоматически? |
Нет |
Нет |
Нет |
Да |
Да |
Да |
Мешает ли отказ выполнению функции, связанной с безопасностью? |
Да |
Да |
Да |
Да |
Нет |
Нет |
Когда будет обнаружен сбой? |
Никогда |
Никогда |
Никогда |
Ранний (последний в конце интервала, не превышающего один машинный цикл) |
Немедленно (когда сигнал теряет динамическую |
|
В потребительских товарах |
Для использования в машинах |
Категория, применимая к конкретной машине и ее системе управления, связанной с безопасностью, в основном указана в новых европейских стандартах (EN), если национальный орган, пользователь и производитель не договорились о применении другой категории. Затем проектировщик разрабатывает систему управления, которая удовлетворяет требованиям. Например, соображения, определяющие структуру канала управления, могут включать следующее:
Этот процесс обратим. По этим же вопросам можно решить, к какой категории относится существующий, ранее разработанный канал управления.
Примеры категорий
Категория B
Компоненты канала управления, используемые в первую очередь в потребительских товарах, должны выдерживать ожидаемые воздействия и быть спроектированы в соответствии с современным уровнем техники. Примером может служить хорошо спроектированный переключатель.
Категория 1
Использование хорошо зарекомендовавших себя компонентов и методов типично для Категории 1. Примером Категории 1 является переключатель с принудительным действием (т. е. требующий принудительного размыкания контактов). Этот переключатель имеет прочные детали и приводится в действие относительно большими усилиями, что обеспечивает чрезвычайно высокую надежность только при размыкании контактов. Несмотря на залипание или даже приваривание контактов, эти выключатели будут размыкаться. (Примечание: такие компоненты, как транзисторы и диоды, не считаются хорошо зарекомендовавшими себя компонентами.) Рисунок 10 служит иллюстрацией элемента управления категории 1.
Рисунок 10. Переключатель с положительным действием
Этот канал использует переключатель S с положительным действием. Контактор K контролируется лампочкой L. Оператору сообщается, что нормально разомкнутые (нормально разомкнутые) контакты замыкаются с помощью лампочки L. Контактор K имеет принудительно управляемые контакты. (Примечание: Реле или контакторы с принудительным управлением контактами имеют, по сравнению с обычными реле или контакторами, специальную клетку из изоляционного материала, так что если нормально замкнутые (НЗ) контакты замкнуты, все нормально разомкнутые контакты должны быть разомкнуты, и наоборот. наоборот. Это означает, что при использовании размыкающих контактов может быть сделана проверка, чтобы определить, что рабочие контакты не прилипают и не привариваются друг к другу.)
Категория 2
Категория 2 предусматривает автоматическое обнаружение отказов. Перед каждым опасным движением должно генерироваться автоматическое обнаружение отказа. Только если тест положительный, можно выполнять движение; в противном случае машина будет остановлена. Для световых барьеров используются автоматические системы обнаружения отказов, чтобы доказать, что они все еще работают. Принцип проиллюстрирован на рисунке 1.
Рис. 11. Схема, включающая детектор отказа
Эта система управления регулярно (или время от времени) проверяется путем подачи импульса на вход. В правильно работающей системе этот импульс затем будет передан на выход и сравнен с импульсом от тестового генератора. Когда присутствуют оба импульса, система, очевидно, работает. В противном случае, если нет выходного импульса, система вышла из строя.
Категория 3
Схема была ранее описана в примере 3 в разделе «Безопасность» этой статьи, рисунок 8.
Требование, т. е. автоматическое обнаружение отказов и возможность выполнения функции безопасности даже в случае возникновения одного отказа в любом месте, может быть выполнено двухканальными структурами управления и взаимным контролем двух каналов.
Только для систем управления машинами необходимо расследовать опасные отказы. Следует отметить, что существует два вида отказа:
Категория 4
Категория 4 обычно предусматривает подачу на вход динамического, непрерывно изменяющегося сигнала. Наличие динамического сигнала на выходе означает Бег («1»), а отсутствие динамического сигнала означает остановить («0»).
Для такой схемы характерно, что после выхода из строя любого компонента динамический сигнал больше не будет поступать на выход. (Примечание: статический потенциал на выходе не имеет значения.) Такие схемы можно назвать «отказоустойчивыми». Все неисправности будут раскрыты сразу, а не после первого изменения (как в цепях категории 3).
Дополнительные комментарии по категориям управления
Таблица 1 разработана для обычных систем управления машинами и показывает только основные схемы; в соответствии с директивой по машинам она должна рассчитываться исходя из того, что за один машинный цикл произойдет только один отказ. Вот почему функция безопасности не должна выполняться в случае двух совпадающих отказов. Предполагается, что отказ будет обнаружен в течение одного машинного цикла. Машина будет остановлена, а затем отремонтирована. Затем система управления запускается снова, полностью работоспособная, без сбоев.
Первым намерением проектировщика должно быть недопущение «постоянных» отказов, которые не будут обнаружены в течение одного цикла, поскольку впоследствии они могут быть объединены с вновь возникающими отказами (накопление отказов). Такие комбинации (постоянная неисправность и новая неисправность) могут вызвать неисправность даже схем категории 3.
Несмотря на эту тактику, возможно, что два независимых отказа произойдут одновременно в течение одного и того же машинного цикла. Это очень маловероятно, особенно если использовались высоконадежные компоненты. Для приложений с очень высоким риском следует использовать три или более подканала. Эта философия основана на том факте, что среднее время наработки на отказ намного больше машинного цикла.
Однако это не означает, что таблица не может быть дополнительно расширена. Таблица 1 в основном и структурно очень похожа на таблицу 2, используемую в EN 954-1. Однако он не пытается включить слишком много критериев сортировки. Требования определяются в соответствии со строгими законами логики, поэтому можно ожидать только однозначных ответов (ДА или НЕТ). Это позволяет более точно оценивать, сортировать и классифицировать представленные схемы (каналы, связанные с безопасностью) и, что не менее важно, значительно улучшать воспроизводимость оценки.
Было бы идеально, если бы риски можно было классифицировать по различным уровням риска, а затем установить определенную связь между уровнями риска и категориями, причем все это независимо от используемой технологии. Однако это невозможно в полной мере. Вскоре после создания категорий стало ясно, что даже при одной и той же технологии ответы на различные вопросы были недостаточными. Что лучше: очень надежный и хорошо спроектированный компонент категории 1 или система, удовлетворяющая требованиям категории 3 с низкой надежностью?
Чтобы объяснить эту дилемму, нужно различать два качества: надежность и безопасность (от отказов). Они несопоставимы, так как оба эти качества имеют разные черты:
Принимая во внимание вышеизложенное, может оказаться, что лучшим решением (с точки зрения высокого риска) является использование высоконадежных компонентов и их конфигурация таким образом, чтобы схема была защищена как минимум от одного отказа (желательно больше). Понятно, что такое решение не самое экономичное. На практике процесс оптимизации в основном является следствием всех этих влияний и соображений.
Опыт практического использования категорий показывает, что редко возможно разработать систему управления, в которой можно использовать только одну категорию. Типичным является сочетание двух или даже трех частей, каждая из которых относится к разной категории, как показано в следующем примере:
Многие световые барьеры безопасности относятся к категории 4, в которой один канал работает с динамическим сигналом. В конце этой системы обычно есть два взаимно контролируемых подканала, которые работают со статическими сигналами. (Это соответствует требованиям для категории 3.)
В соответствии с EN 50100 такие световые барьеры классифицируются как Электрочувствительные защитные устройства типа 4, хотя они состоят из двух частей. К сожалению, нет единого мнения о том, как называть системы управления, состоящие из двух или более частей, каждая из которых относится к другой категории.
Программируемые электронные системы (ПЭС)
Принципы, используемые для создания таблицы 1, могут, конечно, с некоторыми ограничениями, в целом применяться и к PES.
система только PES
При использовании ПЭС для управления передача информации от датчика к активатору осуществляется через большое количество компонентов. Кроме того, он даже проходит «сквозь» программное обеспечение. (См. рис. 12).
Рисунок 12. Схема системы ПЭС
Хотя современные ПЭС очень надежны, надежность не так высока, как может потребоваться для выполнения функций безопасности. Кроме того, обычные системы ПЭС недостаточно безопасны, поскольку в случае отказа они не будут выполнять функцию, связанную с безопасностью. Поэтому использование ПЭС для отработки функций безопасности без каких-либо дополнительных мероприятий не допускается.
Приложения с очень низким уровнем риска: системы с одним PES и дополнительными мерами
При использовании одной ПЭС для управления система состоит из следующих основных частей:
Входная часть
Надежность датчика и входа ПЭС можно повысить, удвоив их. Такая конфигурация ввода с двойной системой может дополнительно контролироваться программным обеспечением, чтобы проверить, предоставляют ли обе подсистемы одинаковую информацию. Таким образом, сбои во входной части могут быть обнаружены. Это почти та же философия, что требуется для категории 3. Однако, поскольку надзор осуществляется программным обеспечением и только один раз, это может быть обозначено как 3- (или не так надежно, как 3).
Средняя часть
Хотя эту часть нельзя хорошо удвоить, ее можно проверить. При включении (или во время работы) может быть выполнена проверка всего набора команд. Через те же промежутки времени можно проверить и память по подходящим битовым комбинациям. Если такие проверки проводятся без сбоев, очевидно, что обе части, ЦП и память, работают правильно. Средняя часть имеет некоторые характеристики, типичные для категории 4 (динамический сигнал), и другие характеристики, характерные для категории 2 (тестирование проводится регулярно через соответствующие интервалы времени). Проблема в том, что эти тесты, несмотря на их обширность, не могут быть действительно полными, так как система с одним ПЭС по своей сути не позволяет их проводить.
Выходная часть
Как и вход, выход (включая активаторы) также может быть удвоен. Обе подсистемы можно контролировать по отношению к одному и тому же результату. Сбои будут обнаружены, и функция безопасности будет выполнена. Однако есть те же слабые места, что и во входной части. Следовательно, в данном случае выбирается категория 3.
На рис. 13 та же функция перенесена на реле. A и B. Контакты управления a и b, затем информирует две системы ввода, выполняют ли оба реле одинаковую работу (если не произошел сбой в одном из каналов). Надзор снова осуществляется программным обеспечением.
Рис. 13. Схема ПЭС с системой обнаружения отказов
Всю систему можно отнести к категории 3-/4/2/3-, если она выполнена правильно и широко. Тем не менее, описанные выше слабые места таких систем не могут быть полностью устранены. На самом деле усовершенствованные ПЭС фактически используются для функций, связанных с безопасностью, только там, где риски довольно низки (Hölscher and Rader 1984).
Приложения с низким и средним уровнем риска с одним PES
Сегодня почти каждая машина оснащена блоком управления PES. Для решения проблемы недостаточной надежности и, как правило, недостаточной защищенности от отказов обычно используются следующие методы проектирования:
Рис. 14. Современное состояние останова категории 0
Рис. 15. Современное состояние останова категории 1
Рис. 16. Современное состояние останова категории 2
Приложения с высоким риском: системы с двумя (или более) PES.
Помимо сложности и дороговизны, нет других факторов, которые могли бы помешать разработчикам использовать полностью сдвоенные системы PES, такие как Siemens Simatic S5-115F, 3B6 Typ CAR-MIL и так далее. Обычно они включают в себя два идентичных PES с однородным программным обеспечением и предполагают использование «апробированных» PES и «апробированных» компиляторов (апробированными PES или компилятором можно считать тот, который во многих практических приложениях работает более 3 лет). показало, что систематические отказы явно устранены). Хотя эти двойные системы ПЭС не имеют слабых мест систем с одним ПЭС, это не означает, что двойные системы ПЭС решают все проблемы. (См. рис. 17).
Рисунок 17. Сложная система с двумя ПЭС
Систематические сбои
Систематические отказы могут возникать из-за ошибок в спецификациях, конструкции и по другим причинам и могут присутствовать как в аппаратном, так и в программном обеспечении. Системы Double-PES подходят для использования в приложениях, связанных с безопасностью. Такие конфигурации позволяют обнаруживать случайные отказы оборудования. С помощью разнообразия аппаратных средств, такого как использование двух разных типов или продуктов двух разных производителей, можно выявить систематические отказы аппаратных средств (крайне маловероятно, что идентичные систематические отказы аппаратных средств произойдут на обоих ПВУ).
ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ
Программное обеспечение является новым элементом в вопросах безопасности. Программное обеспечение либо правильное, либо неправильное (в отношении сбоев). После исправления программное обеспечение не может мгновенно стать неверным (по сравнению с аппаратным обеспечением). Цель состоит в том, чтобы устранить все ошибки в программном обеспечении или, по крайней мере, выявить их.
Существуют различные способы достижения этой цели. Один из них проверка программы (второй человек пытается обнаружить ошибки в последующем тесте). Другая возможность разнообразие программного обеспечения, в котором две разные программы, написанные двумя программистами, решают одну и ту же задачу. Если результаты совпадают (в определенных пределах), можно считать, что оба участка программы верны. Если результаты отличаются, предполагается наличие ошибок. (Обратите внимание, архитектура оборудования, естественно, также необходимо учитывать.)
Итого
При использовании PES, как правило, следует принимать во внимание те же самые следующие основные соображения (как описано в предыдущих разделах).
Новым фактором является то, что для системы с ПЭС даже программное обеспечение должно оцениваться с точки зрения корректности. Программное обеспечение, если оно правильное, надежно на 100%. На данном этапе технологического развития, вероятно, не будут использоваться лучшие из возможных и известных технических решений, так как ограничивающими факторами остаются экономические факторы. Кроме того, различные группы экспертов продолжают разрабатывать стандарты для безопасного применения PES (например, EC, EWICS). Хотя уже существуют различные стандарты (VDE0801, IEC65A и т. д.), этот вопрос настолько широк и сложен, что ни один из них не может считаться окончательным.
Всякий раз, когда простое и обычное производственное оборудование, такое как станки, автоматизируется, результатом становятся сложные технические системы, а также новые опасности. Эта автоматизация достигается за счет использования систем числового программного управления (ЧПУ) на станках, называемых Станки с ЧПУ (например, фрезерные станки, обрабатывающие центры, сверла и шлифовальные станки). Чтобы иметь возможность идентифицировать потенциальные опасности, присущие автоматическим инструментам, необходимо проанализировать различные режимы работы каждой системы. Проведенный ранее анализ показывает, что следует проводить различие между двумя типами операций: нормальной операцией и специальной операцией.
Часто невозможно предписать требования безопасности для станков с ЧПУ в виде конкретных мер. Это может быть связано с тем, что существует слишком мало правил и стандартов, специфичных для оборудования, которые обеспечивают конкретные решения. Требования безопасности могут быть определены только в том случае, если возможные опасности систематически идентифицируются путем проведения анализа опасностей, особенно если эти сложные технические системы оснащены свободно программируемыми системами управления (например, станки с ЧПУ).
В случае вновь разработанных станков с ЧПУ производитель обязан провести анализ опасностей на оборудовании, чтобы определить, какие опасности могут присутствовать, и показать с помощью конструктивных решений, что все опасности для людей во всех различные режимы работы исключены. Все выявленные опасности должны быть подвергнуты оценке риска, при этом каждый риск события зависит от объема ущерба и частоты, с которой он может произойти. Оцениваемой опасности также присваивается категория риска (минимизированная, нормальная, повышенная). Там, где риск не может быть принят на основе оценки риска, должны быть найдены решения (меры безопасности). Целью этих решений является снижение частоты возникновения и масштабов ущерба от незапланированного и потенциально опасного инцидента («события»).
Подходы к решениям для нормальных и повышенных рисков можно найти в технологии косвенной и прямой безопасности; для минимизации рисков их можно найти в технологии реферальной безопасности:
Международные требования безопасности
Директива ЕС по машинному оборудованию (89/392/EEC) от 1989 г. устанавливает основные требования безопасности и охраны здоровья для машин. (Согласно Директиве по машинному оборудованию, машина считается совокупностью взаимосвязанных частей или устройств, по крайней мере одно из которых может двигаться и, соответственно, выполняет определенную функцию.) Кроме того, международные органы по стандартизации создают отдельные стандарты для иллюстрации возможных решения (например, обращая внимание на фундаментальные аспекты безопасности или проверяя электрическое оборудование, установленное на промышленном оборудовании). Целью этих стандартов является определение целей защиты. Эти международные требования безопасности дают производителям необходимую правовую основу для указания этих требований в вышеупомянутых анализах опасностей и оценках рисков.
Режимы работы
При использовании станков различают нормальную работу и специальную работу. Статистические данные и исследования показывают, что большинство инцидентов и аварий не происходит при нормальной эксплуатации (т. е. при автоматическом выполнении соответствующего задания). Для этих типов машин и установок особое внимание уделяется специальным режимам работы, таким как ввод в эксплуатацию, настройка, программирование, пробные запуски, проверки, устранение неисправностей или техническое обслуживание. В этих режимах работы люди обычно находятся в опасной зоне. Концепция безопасности должна защищать персонал от вредных событий в подобных ситуациях.
Нормальная операция
К автоматическим станкам при нормальной работе относится следующее: (1) станок выполняет задание, для которого он был спроектирован и изготовлен, без какого-либо дальнейшего вмешательства оператора, и (2) применительно к простому токарному станку это означает, что заготовке придается правильная форма и образуется стружка. Если заготовка меняется вручную, смена заготовки представляет собой особый режим работы.
Специальные режимы работы
Особые режимы работы – это рабочие процессы, обеспечивающие нормальную работу. В этот заголовок, например, можно было бы включить замену заготовки или инструмента, исправление ошибки в производственном процессе, устранение неисправности машины, настройку, программирование, пробные запуски, очистку и техническое обслуживание. При нормальной работе автоматические системы выполняют свои задачи самостоятельно. Однако с точки зрения безопасности труда автоматическая нормальная работа становится критически важной, когда оператору приходится вмешиваться в рабочие процессы. Ни при каких обстоятельствах лица, участвующие в таких процессах, не должны подвергаться опасности.
Персонал
При охране станков необходимо учитывать лиц, работающих в различных режимах работы, а также третьих лиц. К третьим сторонам также относятся лица, косвенно связанные с машиной, такие как надзиратели, инспекторы, помощники по транспортировке материалов и демонтажным работам, посетители и другие.
Требования и меры безопасности для машинных принадлежностей
Вмешательства для работ в особых режимах работы означают, что необходимо использовать специальные приспособления для обеспечения безопасного выполнения работ. первый тип аксессуаров включает в себя оборудование и предметы, используемые для вмешательства в автоматический процесс без необходимости доступа оператора в опасную зону. Этот тип принадлежностей включает в себя (1) крюки для стружки и щипцы, которые сконструированы таким образом, что стружка в зоне обработки может быть удалена или удалена через отверстия, предусмотренные в защитных кожухах, и (2) устройства для зажима заготовки, с помощью которых производственный материал может быть вручную вставлен в автоматический цикл или удален из него
Различные специальные режимы работы, например ремонтные работы или работы по техническому обслуживанию, требуют вмешательства персонала в систему. И в этих случаях имеется целый ряд станочных приспособлений, призванных повысить безопасность труда, например приспособления для обращения с тяжелыми шлифовальными кругами при замене последних на шлифовальных станках, а также специальные крановые стропы для демонтажа или монтажа тяжелых деталей при машины проходят капитальный ремонт. Эти устройства являются второй тип приспособлений для повышения безопасности при работе на специальных операциях. Системы управления специальными операциями также можно рассматривать как второй тип принадлежностей машин. С такими аксессуарами можно безопасно выполнять определенные действия — например, устройство можно установить на оси станка, когда необходимы движения подачи с открытыми защитными ограждениями.
Эти специальные системы управления работой должны удовлетворять особым требованиям безопасности. Например, они должны гарантировать, что только запрошенное перемещение выполняется запрошенным способом и только в течение запрошенного времени. Поэтому система управления специальными операциями должна быть спроектирована таким образом, чтобы предотвратить превращение любого ошибочного действия в опасные движения или состояния.
Оборудование, повышающее степень автоматизации установки, можно рассматривать как третий тип принадлежностей для повышения безопасности труда. Действия, которые ранее выполнялись вручную, выполняются машиной автоматически при нормальной работе, например, оборудование, включая портальные загрузчики, которые автоматически меняют заготовки на станках. Обеспечение нормальной автоматической работы не вызывает особых проблем, поскольку вмешательство оператора в ход событий не требуется, а возможные вмешательства могут быть предотвращены защитными устройствами.
Требования и меры безопасности при автоматизации станков
К сожалению, автоматизация не привела к устранению аварий на производственных предприятиях. Исследования просто показывают сдвиг возникновения аварий от нормальной эксплуатации к специальной, в первую очередь за счет автоматизации нормальной эксплуатации, так что вмешательство в ход производства больше не требуется, а персонал, таким образом, больше не подвергается опасности. С другой стороны, высокоавтоматические машины представляют собой сложные системы, которые трудно оценить при возникновении неисправностей. Даже специалисты, привлекаемые для устранения неисправностей, не всегда могут сделать это без несчастных случаев. Количество программного обеспечения, необходимого для управления все более сложными машинами, растет в объеме и сложности, в результате чего все большее число инженеров-электриков и пусконаладчиков попадают в аварии. Не бывает безупречного программного обеспечения, и изменения в программном обеспечении часто приводят к изменениям где-то еще, чего не ожидали и не хотели. Чтобы предотвратить влияние на безопасность, опасные сбои в работе, вызванные внешними воздействиями и неисправностями компонентов, должны быть исключены. Это условие может быть выполнено только в том случае, если схема безопасности спроектирована максимально просто и отделена от остальных органов управления. Элементы или узлы, используемые в цепи безопасности, также должны быть безотказными.
Задача проектировщика - разработать конструкции, удовлетворяющие требованиям безопасности. Проектировщик не может не учитывать необходимые рабочие процедуры, включая специальные режимы работы, с большой тщательностью. Необходимо провести анализ, чтобы определить, какие безопасные рабочие процедуры необходимы, и эксплуатационный персонал должен с ними ознакомиться. В большинстве случаев потребуется система управления для спецопераций. Система управления обычно наблюдает за движением или регулирует его, в то же время никакое другое движение не должно инициироваться (поскольку для этой работы не требуется никаких других движений, и, следовательно, оператор их не ожидает). Система управления не обязательно должна выполнять одни и те же задачи в различных режимах спецоперации.
Требования и меры безопасности в нормальных и особых режимах эксплуатации
Нормальная операция
Спецификация целей безопасности не должна препятствовать техническому прогрессу, поскольку можно выбирать адаптированные решения. Использование станков с ЧПУ предъявляет максимальные требования к анализу опасностей, оценке рисков и концепциям безопасности. Далее более подробно описываются несколько целей безопасности и возможные решения.
Цель безопасности
Возможные решения
Цель безопасности
Возможное решение
Спецоперация
Интерфейсы между нормальной и специальной работой (например, устройства блокировки дверей, световые барьеры, коврики безопасности) необходимы для того, чтобы система управления безопасностью автоматически распознавала присутствие персонала. Далее описываются некоторые специальные режимы работы (например, настройка, программирование) на станках с ЧПУ, требующие движений, которые должны оцениваться непосредственно на месте эксплуатации.
Цели безопасности
Возможное решение
Требования к системам управления безопасностью
Одной из особенностей системы управления безопасностью должно быть то, что функция безопасности гарантированно срабатывает всякий раз, когда возникают какие-либо неисправности, чтобы направлять процессы из опасного состояния в безопасное состояние.
Цели безопасности
Возможные решения
Заключение
Очевидно, что рост числа аварий в нормальных и специальных режимах эксплуатации невозможно остановить без четкой и безошибочной концепции безопасности. Этот факт необходимо учитывать при составлении правил и инструкций по технике безопасности. Новые руководящие принципы в форме целей безопасности необходимы для того, чтобы обеспечить передовые решения. Эта цель позволяет разработчикам выбрать оптимальное решение для конкретного случая и в то же время довольно просто продемонстрировать функции безопасности своих машин, описав решение для каждой цели безопасности. Затем это решение можно сравнить с другими существующими и принятыми решениями, и, если оно лучше или, по крайней мере, равноценно, можно выбрать новое решение. Таким образом, прогрессу не мешают узко сформулированные правила.
Основные характеристики Директивы ЕЭС по машинному оборудованию
Директива Совета от 14 июня 1989 г. о сближении законов государств-членов, касающихся машинного оборудования (89/392/ЕЕС), применяется к каждому отдельному государству.
Цели безопасности при изготовлении и использовании станков с ЧПУ
1. Токарные станки
1.1 Нормальный режим работы
1.1.1 Рабочая зона должна быть ограждена таким образом, чтобы нельзя было ни преднамеренно, ни непреднамеренно попасть в опасные зоны автоматических движений или войти в них.
1.1.2 Инструментальный магазин должен быть защищен таким образом, чтобы нельзя было ни преднамеренно, ни непреднамеренно попасть в опасные зоны автоматических движений или войти в них.
1.1.3 Магазин заготовок должен быть защищен таким образом, чтобы нельзя было ни преднамеренно, ни непреднамеренно попасть в опасные зоны автоматических движений или войти в них.
1.1.4 Удаление стружки не должно приводить к травмам из-за стружки или движущихся частей станка.
1.1.5 Необходимо предотвращать травмы людей в результате доступа к приводным системам.
1.1.6 Необходимо исключить возможность проникновения в опасные зоны движущихся конвейеров для стружки.
1.1.7 Отлетающие детали или их части не должны причинять вред операторам или третьим лицам.
Например, это может произойти
1.1.8 Отлетающие зажимные приспособления для заготовок не должны приводить к травмам.
1.1.9 Отлетающая стружка не должна приводить к травмам.
1.1.10 Летающие инструменты или их части не должны приводить к травмам.
Например, это может произойти
1.2 Специальные режимы работы
1.2.1 Смена заготовки.
1.2.1.1 Зажим заготовки должен производиться таким образом, чтобы никакие части тела не могли быть зажаты между закрывающими зажимными приспособлениями и заготовкой или между наконечником продвигающейся втулки и заготовкой.
1.2.1.2 Должен быть предотвращен запуск привода (шпинделей, осей, втулок, револьверных головок или конвейеров для стружки) вследствие неправильной команды или неверной команды.
1.2.1.3 Должна быть обеспечена возможность безопасного манипулирования заготовкой вручную или с помощью инструментов.
1.2.2 Замена инструмента в держателе инструмента или револьверной головке.
1.2.2.1 Должна быть предотвращена опасность, возникающая из-за неправильного поведения системы или из-за ввода неверной команды.
1.2.3 Смена инструмента в инструментальном магазине.
1.2.3.1 Во время смены инструмента необходимо предотвратить перемещения в инструментальном магазине из-за ошибочной или недействительной команды.
1.2.3.2 Не должно быть возможности доступа к другим движущимся частям машины с места загрузки инструмента.
1.2.3.3 Не должно быть возможности проникнуть в опасные зоны при дальнейшем перемещении инструментального магазина или при обыске. Если ограждения для нормального режима работы сняты, эти движения могут быть только определенного вида и выполняться только в течение предписанного периода времени и только тогда, когда можно гарантировать, что никакие части тела не находятся в этих опасных зонах. .
1.2.4 Проверка измерений.
1.2.4.1 Доступ в рабочую зону должен быть возможен только после остановки всех движений.
1.2.4.2 Должен быть предотвращен запуск привода в результате ошибочной команды или неверного ввода команды.
1.2.5 Настройка.
1.2.5.1 Если при наладке выполняются перемещения со снятыми ограждениями для нормального режима работы, то оператор должен быть огражден другим способом.
1.2.5.2 Никакие опасные движения или изменения движений не должны инициироваться в результате неправильной команды или неверного ввода команды.
1.2.6 Программирование.
1.2.6.1 Во время программирования нельзя начинать никаких движений, которые могут представлять опасность для человека в рабочей зоне.
1.2.7 Производственный брак.
1.2.7.1 Должен быть предотвращен пуск привода в результате ошибочной команды при неверной уставке командного ввода.
1.2.7.2 Никакие опасные движения или ситуации не должны инициироваться перемещением или удалением заготовки или отходов.
1.2.7.3 В тех случаях, когда движения должны выполняться со снятыми ограждениями для нормального режима работы, эти движения могут быть только обозначенного типа и выполняться только в течение установленного периода времени и только тогда, когда можно гарантировать, что никакие части тела находятся в этих опасных зонах.
1.2.8 Устранение неполадок.
1.2.8.1 Должен быть предотвращен доступ в опасные зоны автоматических движений.
1.2.8.2 Должен быть предотвращен запуск привода в результате ошибочной команды или неверного ввода команды.
1.2.8.3 Необходимо предотвратить движение машины при манипуляциях с неисправной деталью.
1.2.8.4 Необходимо предотвращать травмы людей в результате отколовшихся или падающих частей машины.
1.2.8.5 Если во время устранения неполадок должны выполняться движения со снятыми ограждениями для нормального режима работы, эти движения могут быть только обозначенного типа и выполняться только в течение предписанного периода времени и только тогда, когда можно гарантировать, что никакие части тела не находятся в этих опасных зонах.
1.2.9 Неисправность и ремонт машины.
1.2.9.1 Запуск машины должен быть исключен.
1.2.9.2 Манипуляции с различными частями машины должны быть безопасными как вручную, так и с помощью инструментов.
1.2.9.3 Нельзя дотрагиваться до токоведущих частей машины.
1.2.9.4 Травмы не должны быть результатом выброса жидких или газообразных сред.
2. Фрезерные станки
2.1 Нормальный режим работы
2.1.1 Рабочая зона должна быть ограждена таким образом, чтобы нельзя было ни преднамеренно, ни непреднамеренно попасть в опасные зоны автоматических движений или войти в них.
2.1.2 Удаление стружки не должно приводить к травмам из-за стружки или движущихся частей станка.
2.1.3 Необходимо предотвращать травмы людей в результате доступа к приводным системам.
Отлетающие детали или их части не должны причинять вред операторам или третьим лицам.
Например, это может произойти
2.1.4 Отлетающие зажимные приспособления для заготовок не должны приводить к травмам.
2.1.5 Отлетающая стружка не должна приводить к травмам.
2.1.6 Летающие инструменты или их части не должны приводить к травмам.
Например, это может произойти
Специальные режимы работы
2.2.1 Смена заготовки.
2.2.1.1 При использовании механических зажимных приспособлений не должно быть возможности защемления частей тела между закрывающими частями зажимного приспособления и заготовкой.
2.2.1.2 Должен быть предотвращен запуск привода (шпинделя, оси) в результате ошибочной команды или неверного ввода команды.
2.2.1.3 Манипуляции с заготовкой должны быть безопасными вручную или с помощью инструментов.
2.2.2 Смена инструмента.
2.2.2.1 Должен быть предотвращен запуск привода в результате ошибочной команды или неверного ввода команды.
2.2.2.2 Пальцы не должны быть защемлены при установке инструментов.
2.2.3 Проверка измерений.
2.2.3.1 Доступ в рабочую зону должен быть возможен только после остановки всех движений.
2.2.3.2 Должен быть предотвращен запуск привода в результате ошибочной команды или неверного ввода команды.
2.2.4 Настройка.
2.2.4.1 Если движения выполняются при наладке со снятыми ограждениями для нормального режима работы, оператор должен быть защищен другими средствами.
2.2.4.2 Никакие опасные движения или изменения движений не должны инициироваться в результате неправильной команды или неверного ввода команды.
2.2.5 Программирование.
2.2.5.1 Во время программирования не должно быть никаких движений, которые могут представлять опасность для человека в рабочей зоне.
2.2.6 Производственный брак.
2.2.6.1 Должен быть предотвращен запуск привода в результате ошибочной команды или неверного ввода команды.
2.2.6.2 Никакие опасные движения или ситуации не должны инициироваться перемещением или удалением заготовки или отходов.
2.2.6.3 В тех случаях, когда движения должны выполняться со снятыми ограждениями для нормального режима работы, эти движения могут быть только обозначенного типа и выполняться только в течение установленного периода времени и только тогда, когда можно гарантировать, что никакие части тела находятся в этих опасных зонах.
2.2.7 Устранение неполадок.
2.2.7.1 Должен быть предотвращен доступ в опасные зоны автоматических движений.
2.2.7.2 Должен быть предотвращен запуск привода в результате ошибочной команды или неверного ввода команды.
2.2.7.3 Любое движение машины при манипуляциях с неисправной деталью должно быть предотвращено.
2.2.7.4 Необходимо предотвращать травмы людей в результате отколовшихся или падающих частей машины.
2.2.7.5 Если во время устранения неполадок должны выполняться движения со снятыми ограждениями для нормального режима работы, эти движения могут быть только обозначенного типа и выполняться только в течение предписанного периода времени и только тогда, когда можно гарантировать, что никакие части тела не находятся в этих опасных зонах.
2.2.8 Неисправность и ремонт машины.
2.2.8.1 Запрещается запуск машины.
2.2.8.2 Манипуляции с различными частями машины должны быть возможны вручную или с помощью инструментов без какой-либо опасности.
2.2.8.3 Нельзя дотрагиваться до токоведущих частей машины.
2.2.8.4 Травмы не должны быть результатом выброса жидких или газообразных сред.
3. Обрабатывающие центры
3.1 Нормальный режим работы
3.1.1 Рабочая зона должна быть ограждена таким образом, чтобы невозможно было ни преднамеренно, ни непреднамеренно попасть в опасные зоны автоматических движений или войти в них.
3.1.2 Магазин инструментов должен быть защищен таким образом, чтобы невозможно было попасть в опасные зоны автоматических перемещений или войти в них.
3.1.3 Магазин заготовок должен быть защищен таким образом, чтобы невозможно было добраться до опасных зон автоматических перемещений или войти в них.
3.1.4 Удаление стружки не должно приводить к травмам из-за стружки или движущихся частей станка.
3.1.5 Необходимо предотвращать травмы людей в результате доступа к приводным системам.
3.1.6 Должна быть исключена возможность проникновения в опасные зоны движущихся транспортеров стружки (винтовых конвейеров и т.п.).
3.1.7 Отлетающие детали или их части не должны причинять вред операторам или третьим лицам.
Например, это может произойти
3.1.8 Отлетающие зажимные приспособления для заготовок не должны приводить к травмам.
3.1.9 Отлетающая стружка не должна приводить к травмам.
3.1.10 Летающие инструменты или их части не должны приводить к травмам.
Например, это может произойти
3.2 Специальные режимы работы
3.2.1 Смена заготовки.
3.2.1.1 При использовании механических зажимных приспособлений не должно быть возможности защемления частей тела между закрывающими частями зажимного приспособления и заготовкой.
3.2.1.2 Должен быть предотвращен запуск привода в результате ошибочной команды или неверного ввода команды.
3.2.1.3 Должна быть обеспечена возможность безопасного манипулирования заготовкой вручную или с помощью инструментов.
3.2.1.4 Если заготовка заменяется на зажимной станции, из этого места не должно быть возможности доступа или перехода к автоматическим последовательностям движения станка или магазина заготовок. Никакие движения не должны инициироваться системой управления, пока человек находится в зоне зажима. Автоматическая вставка зажатой детали в станок или магазин заготовок должна происходить только тогда, когда зажимная станция также защищена защитной системой, соответствующей системе для нормального режима работы.
3.2.2 Смена инструмента в шпинделе.
3.2.2.1 Должен быть предотвращен запуск привода в результате ошибочной команды или неверного ввода команды.
3.2.2.2 Пальцы не должны быть защемлены при установке инструментов.
3.2.3 Смена инструмента в инструментальном магазине.
3.2.3.1 Во время смены инструмента необходимо предотвращать перемещения в инструментальном магазине, возникающие из-за ошибочных команд или неверного ввода команд.
3.2.3.2 Не должно быть возможности доступа к другим движущимся частям машины с места загрузки инструмента.
3.2.3.3 Не должно быть возможности проникновения в опасные зоны при дальнейшем перемещении инструментального магазина или при обыске. Если ограждения для нормального режима работы сняты, эти движения могут быть только обозначенного типа и выполняться только в течение предписанного периода времени и только тогда, когда можно гарантировать, что никакие части тела не находятся в этих опасных зонах. .
3.2.4 Проверка измерений.
3.2.4.1 Доступ в рабочую зону должен быть возможен только после остановки всех движений.
3.2.4.2 Должен быть предотвращен запуск привода в результате ошибочной команды или неверного ввода команды.
3.2.5 Настройка.
3.2.5.1 Если при наладке выполняются перемещения со снятыми ограждениями для нормального режима работы, то оператор должен быть огражден другим способом.
3.2.5.2 Никакие опасные движения или изменения движения не должны инициироваться в результате неправильной команды или неверного ввода команды.
3.2.6 Программирование.
3.2.6.1 Во время программирования не должно быть никаких движений, которые могут представлять опасность для человека в рабочей зоне.
3.2.7 Производственный брак.
3.2.7.1 Должен быть предотвращен запуск привода в результате ошибочной команды или неверного ввода команды.
3.2.7.2 Никакие опасные движения или ситуации не должны инициироваться перемещением или удалением заготовки или отходов.
3.2.7.3 В тех случаях, когда движения должны выполняться со снятыми ограждениями для нормального режима работы, эти движения могут быть только обозначенного типа и выполняться только в течение установленного периода времени и только тогда, когда можно гарантировать, что никакие части тела находятся в этих опасных зонах.
3.2.8 Устранение неполадок.
3.2.8.1 Должен быть предотвращен доступ в опасные зоны автоматических движений.
3.2.8.2 Должен быть предотвращен запуск привода в результате ошибочной команды или неверного ввода команды.
3.2.8.3 Любое движение машины при манипуляциях с неисправной деталью должно быть предотвращено.
3.2.8.4 Необходимо предотвращать травмы людей в результате отколовшихся или падающих частей машины.
3.2.8.5 Если во время устранения неполадок должны выполняться движения со снятыми ограждениями для нормального режима работы, эти движения могут быть только обозначенного типа и выполняться только в течение предписанного периода времени и только тогда, когда можно гарантировать, что никакие части тела не находятся в этих опасных зонах.
3.2.9 Неисправность и ремонт машины.
3.2.9.1 Запрещается запуск машины.
3.2.9.2 Манипуляции с различными частями машины должны быть возможны вручную или с помощью инструментов без какой-либо опасности.
3.2.9.3 Нельзя дотрагиваться до токоведущих частей машины.
3.2.9.4 Травмы не должны быть результатом выброса жидких или газообразных сред.
4. Шлифовальные станки
4.1 Нормальный режим работы
4.1.1 Рабочая зона должна быть ограждена таким образом, чтобы нельзя было ни преднамеренно, ни непреднамеренно попасть в опасные зоны автоматических движений или войти в них.
4.1.2 Необходимо предотвращать травмы людей в результате доступа к приводным системам.
4.1.3 Отлетающие детали или их части не должны причинять вред операторам или третьим лицам.
Например, это может произойти
4.1.4 Отлетающие зажимные приспособления для заготовок не должны приводить к травмам.
4.1.5 Искрение не должно привести к травмам или возгоранию.
4.1.6 Отлетающие части шлифовальных кругов не должны приводить к травмам.
Например, это может произойти
Специальные режимы работы
4.2.1 Смена заготовки.
4.2.1.1 При использовании механических зажимных приспособлений не должно быть возможности защемления частей тела между закрывающими частями зажимного приспособления и заготовкой.
4.2.1.2 Должен быть предотвращен запуск привода подачи из-за ошибочной команды или неверного ввода команды.
4.2.1.3 При манипуляциях с заготовкой необходимо избегать травм, вызванных вращающимся шлифовальным кругом.
4.2.1.4 Не должно быть возможности получения травм в результате разрыва шлифовального круга.
4.2.1.5 Манипуляции с заготовкой должны быть безопасными вручную или с помощью инструментов.
4.2.2 Смена инструмента (замена шлифовального круга)
4.2.2.1 Запуск привода подачи в результате ошибочной команды или неверного ввода команды должен быть предотвращен.
4.2.2.2 Во время проведения измерений не должно быть возможности травм, вызванных вращающимся шлифовальным кругом.
4.2.2.3 Не должно быть возможности получения травм в результате разрыва шлифовального круга.
4.2.3 Проверка измерений.
4.2.3.1 Должен быть предотвращен запуск привода подачи из-за ошибочной команды или неверного ввода команды.
4.2.3.2 Во время проведения измерений не должно быть возможности травм, вызванных вращающимся шлифовальным кругом.
4.2.3.3 Не должно быть возможности получения травм в результате разрыва шлифовального круга.
4.2.4. Настраивать.
4.2.4.1 Если при наладке выполняются перемещения со снятыми ограждениями для нормального режима работы, то оператор должен быть огражден другим способом.
4.2.4.2 Никакие опасные движения или изменения движения не должны инициироваться в результате неправильной команды или неверного ввода команды.
4.2.5 Программирование.
4.2.5.1 Во время программирования не должно быть никаких движений, которые могут представлять опасность для человека в рабочей зоне.
4.2.6 Производственный брак.
4.2.6.1 Должен быть предотвращен запуск привода подачи из-за ошибочной команды или неверного ввода команды.
4.2.6.2 Никакие опасные движения или ситуации не должны инициироваться перемещением или удалением заготовки или отходов.
4.2.6.3 В тех случаях, когда движения должны выполняться со снятыми ограждениями для нормального режима работы, эти движения могут быть только обозначенного типа и выполняться только в течение установленного периода времени и только тогда, когда можно гарантировать, что никакие части тела находятся в этих опасных зонах.
4.2.6.4 Необходимо избегать травм, вызванных вращающимся шлифовальным кругом.
4.2.6.5 Не должно быть возможности получения травм в результате разрыва шлифовального круга.
4.2.7 Устранение неполадок.
4.2.7.1 Должен быть предотвращен доступ в опасные зоны автоматических движений.
4.2.7.2 Должен быть предотвращен запуск привода в результате ошибочной команды или неверного ввода команды.
4.2.7.3 Любое движение машины при манипуляциях с неисправной деталью должно быть предотвращено.
4.2.7.4 Необходимо предотвращать травмы людей в результате отколовшихся или падающих частей машины.
4.2.7.5 Должны быть предотвращены телесные повреждения, вызванные касанием оператора или разрывом вращающегося шлифовального круга.
4.2.7.6 Если во время устранения неполадок должны выполняться движения со снятыми ограждениями для нормального режима работы, эти движения могут быть только обозначенного типа и выполняться только в течение предписанного периода времени и только тогда, когда можно гарантировать, что никакие части тела не находятся в этих опасных зонах.
4.2.8 Неисправность и ремонт машины.
4.2.8.1 Запрещается запуск машины.
4.2.8.2 Манипуляции с различными частями машины должны быть возможны вручную или с помощью инструментов без какой-либо опасности.
4.2.8.3 Нельзя дотрагиваться до токоведущих частей машины.
4.2.8.4 Травмы не должны быть результатом выброса жидких или газообразных сред.
Промышленные роботы используются во всех отраслях промышленности, где необходимо соблюдать высокие требования к производительности. Однако использование роботов требует разработки, применения и внедрения соответствующих средств контроля безопасности, чтобы избежать создания опасностей для производственного персонала, программистов, специалистов по техническому обслуживанию и системных инженеров.
Чем опасны промышленные роботы?
Одним из определений роботов является «движущиеся автоматические машины, которые свободно программируются и могут работать практически без участия человека». Эти типы машин в настоящее время используются в самых разных областях промышленности и медицины, включая обучение. Промышленные роботы все чаще используются для выполнения ключевых функций, таких как новые производственные стратегии (CIM, JIT, бережливое производство и т. д.) в сложных установках. Их количество и широта применения, а также сложность оборудования и установок приводят к следующим опасностям:
Исследования в Японии показывают, что более 50% несчастных случаев на работе с роботами могут быть связаны с неисправностями в электронных схемах системы управления. В тех же исследованиях «человеческий фактор» был причиной менее 20%. Логическим выводом из этого вывода является то, что опасностей, вызванных системными сбоями, нельзя избежать с помощью поведенческих мер, принимаемых людьми. Поэтому проектировщики и операторы должны предусмотреть и реализовать технические меры безопасности (см. рис. 1).
Рис. 1. Специальная система оперативного управления наладкой мобильного сварочного робота
Аварии и режимы работы
Аварии со смертельным исходом, связанные с промышленными роботами, стали происходить в начале 1980-х годов. Статистика и расследования показывают, что большинство инцидентов и аварий не происходит при нормальной эксплуатации (автоматическое выполнение соответствующего задания). При работе с промышленными роботизированными машинами и установками особое внимание уделяется специальным режимам работы, таким как ввод в эксплуатацию, настройка, программирование, пробные запуски, проверки, устранение неполадок или техническое обслуживание. В этих режимах работы люди обычно находятся в опасной зоне. Концепция безопасности должна защищать персонал от негативных событий в подобных ситуациях.
Международные требования безопасности
Директива ЕЭС по машинному оборудованию 1989 г. (89/392/EEC) (см. статью «Принципы безопасности для станков с ЧПУ» в этой главе и в других местах этой главы). Энциклопедия)) устанавливает основные требования безопасности и гигиены труда к машинам. Машиной считается совокупность взаимосвязанных частей или устройств, из которых хотя бы одна часть или устройство может двигаться и, соответственно, имеет функцию. Что касается промышленных роботов, следует отметить, что вся система, а не только один элемент оборудования на машине, должна соответствовать требованиям безопасности и быть оснащена соответствующими предохранительными устройствами. Анализ опасностей и оценка рисков являются подходящими методами определения того, были ли выполнены эти требования (см. рис. 2).
Рисунок 2. Блок-схема системы безопасности персонала
Требования и меры безопасности при нормальной эксплуатации
Использование робототехники предъявляет максимальные требования к анализу опасностей, оценке рисков и концепциям безопасности. По этой причине следующие примеры и предложения могут служить только в качестве рекомендаций:
1. Учитывая цель безопасности, заключающуюся в том, что ручной или физический доступ к опасным зонам, связанным с автоматическими движениями, должен быть предотвращен, предлагаемые решения включают следующее:
2. Учитывая цель безопасности, заключающуюся в том, что никто не может быть ранен в результате выброса энергии (разлетающихся частей или пучков энергии), предлагаемые решения включают:
3. Интерфейсы между нормальной и специальной работой (например, устройства блокировки дверей, световые барьеры, коврики безопасности) необходимы для того, чтобы система управления безопасностью могла автоматически распознавать присутствие персонала.
Требования и меры безопасности в особых режимах работы
Некоторые специальные режимы работы (например, настройка, программирование) промышленного робота требуют движений, которые необходимо оценивать непосредственно на рабочем месте. Соответствующая цель безопасности состоит в том, чтобы никакие движения не представляли опасности для вовлеченных лиц. Движения должны быть
Предлагаемое решение этой задачи может включать использование специальных систем оперативного управления, которые допускают только контролируемые и управляемые движения с использованием распознаваемых органов управления. Таким образом, скорость движений безопасно снижается (снижение энергии за счет подключения изолирующего трансформатора или использования отказобезопасного оборудования для контроля состояния), и безопасное состояние подтверждается до того, как будет разрешено активировать управление (см. рис. 3).
Рисунок 3. Шестиосный промышленный робот в защитной клетке с материальными воротами
Требования к системам управления безопасностью
Одной из особенностей системы управления безопасностью должно быть то, что требуемая функция безопасности гарантированно срабатывает при возникновении любых неисправностей. Промышленные роботы должны практически мгновенно переводиться из опасного состояния в безопасное. Меры контроля безопасности, необходимые для достижения этого, включают следующие цели безопасности:
Предлагаемые решения для обеспечения надежных систем управления безопасностью:
Цели безопасности при создании и использовании промышленных роботов.
Когда промышленные роботы создаются и используются, как производители, так и пользователи должны установить современные средства контроля безопасности. Помимо аспекта юридической ответственности, также может существовать моральное обязательство обеспечивать безопасность робототехники.
Нормальный режим работы
При работе роботов в штатном режиме должны быть обеспечены следующие условия безопасности:
Специальные режимы работы
При работе роботов в специальных режимах должны быть обеспечены следующие условия безопасности:
При устранении нарушений в производственном процессе необходимо предотвратить следующее:
Во время установки должны быть обеспечены следующие безопасные условия:
Никакие опасные движения не могут быть инициированы в результате ошибочной команды или неправильного ввода команды.
Во время программирования действуют следующие условия безопасности:
Безопасные испытания требуют соблюдения следующих мер предосторожности:
Предотвращайте ручной или физический доступ к зонам, представляющим опасность из-за автоматических движений.
При осмотре роботов безопасные процедуры включают следующее:
Устранение неполадок часто требует запуска робота, когда он находится в потенциально опасном состоянии, и должны быть реализованы специальные безопасные рабочие процедуры, такие как следующие:
Устранение неисправности и работы по техническому обслуживанию также могут потребовать запуска, когда машина находится в небезопасном состоянии, и, следовательно, требуют следующих мер предосторожности:
В этой статье обсуждается проектирование и внедрение систем управления, связанных с безопасностью, которые имеют дело со всеми типами электрических, электронных и программно-электронных систем (включая компьютерные системы). Общий подход соответствует предложенному Международной электротехнической комиссией (МЭК) стандарту 1508 (Функциональная безопасность: связанная с безопасностью
системы) (МЭК 1993).
проверка данных
В 1980-х годах компьютерные системы, обычно называемые программируемыми электронными системами (ПЭС), все чаще использовались для выполнения функций безопасности. Основными движущими силами этой тенденции были (1) улучшенная функциональность и экономические преимущества (особенно с учетом общего жизненного цикла устройства или системы) и (2) особое преимущество определенных конструкций, которое можно было реализовать только при использовании компьютерных технологий. . Во время раннего внедрения компьютерных систем был сделан ряд выводов:
Чтобы решить эти проблемы, несколько органов опубликовали или начали разрабатывать руководства, обеспечивающие безопасное использование технологии PES. В Соединенном Королевстве Управление по охране труда и технике безопасности (HSE) разработало руководство для программируемых электронных систем, используемых для приложений, связанных с безопасностью, а в Германии был опубликован проект стандарта (DIN 1990). В Европейском сообществе в связи с требованиями Директивы по машинному оборудованию был начат важный элемент работы над гармонизированными европейскими стандартами, касающимися систем управления, связанных с безопасностью (включая те, которые используют ПЭС). В Соединенных Штатах Американское общество приборостроения (ISA) разработало стандарт на PES для использования в обрабатывающей промышленности, а Центр безопасности химических процессов (CCPS), управление Американского института инженеров-химиков, разработал руководящие принципы. для сектора химических процессов.
В настоящее время в МЭК реализуется крупная инициатива по стандартизации для разработки общего международного стандарта для электрических, электронных и программируемых электронных (E/E/PES) систем, связанных с безопасностью, который можно было бы использовать во многих областях применения, включая процессы, медицинской, транспортной и машиностроительной отраслях. Предлагаемый международный стандарт МЭК состоит из семи частей под общим названием IEC 1508. Функциональная безопасность электрических/электронных/программируемых электронных систем, связанных с безопасностью.. Различные части следующие:
После окончательной доработки этот общий международный стандарт станет базовой публикацией МЭК по безопасности, охватывающей функциональную безопасность электрических, электронных и программируемых электронных систем, связанных с безопасностью, и будет иметь значение для всех стандартов МЭК, охватывающих все области применения в отношении будущего проектирования и использования электрические/электронные/программируемые электронные системы безопасности. Основная цель предлагаемого стандарта — облегчить разработку стандартов для различных секторов (см. рис. 1).
Рисунок 1. Стандарты общего и прикладного секторов
Преимущества и проблемы PES
Принятие ПВУ для целей безопасности имело много потенциальных преимуществ, но было признано, что они могут быть достигнуты только при использовании соответствующих методологий проектирования и оценки, поскольку: (1) многие характеристики ПВУ не обеспечивают полноту безопасности (что то есть характеристики безопасности систем, выполняющих требуемые функции безопасности), должны быть предсказаны с той же степенью достоверности, которая традиционно была доступна для менее сложных аппаратных («жестких») систем; (2) было признано, что хотя тестирование и необходимо для сложных систем, его самого по себе недостаточно. Это означало, что даже если PES реализовывала относительно простые функции безопасности, уровень сложности программируемой электроники был значительно выше, чем у проводных систем, которые они заменяли; и (3) этот рост сложности означал, что методологии проектирования и оценки должны были уделять гораздо больше внимания, чем раньше, и что уровень личной компетентности, необходимый для достижения адекватных уровней производительности систем, связанных с безопасностью, впоследствии был выше.
Преимущества компьютеризированных ПЭС включают следующее:
Использование компьютерных систем в приложениях, связанных с безопасностью, создает ряд проблем, требующих адекватного решения, таких как следующие:
Рассматриваемые системы безопасности
Рассматриваемые типы систем, связанных с безопасностью, представляют собой электрические, электронные и программируемые электронные системы (E/E/PES). Система включает в себя все элементы, в частности сигналы, исходящие от датчиков или других устройств ввода на управляемом оборудовании и передаваемые по магистралям данных или другим каналам связи на исполнительные механизмы или другие устройства вывода (см. рис. 2).
Рисунок 2. Электрическая, электронная и программируемая электронная система (E/E/PES)
Термин электрические, электронные и программируемые электронные устройства использовался для охвата широкого спектра устройств и охватывает следующие три основных класса:
По определению система, связанная с безопасностью, служит двум целям:
Эта концепция проиллюстрирована на рисунке 3.
Рисунок 3. Основные характеристики систем, связанных с безопасностью
Системные сбои
Чтобы обеспечить безопасную работу E/E/PES систем, связанных с безопасностью, необходимо распознавать различные возможные причины отказов систем, связанных с безопасностью, и обеспечивать принятие адекватных мер предосторожности против каждой из них. Отказы подразделяются на две категории, как показано на рисунке 4.
Рисунок 4. Категории отказов
Защита систем безопасности
Термины, которые используются для обозначения мер предосторожности, требуемых системой, связанной с безопасностью, для защиты от случайных отказов оборудования и систематических отказов: аппаратные средства обеспечения безопасности и систематические меры обеспечения полноты безопасности соответственно. Меры предосторожности, которые система, связанная с безопасностью, может применять как против случайных отказов аппаратных средств, так и против систематических отказов, называются полнота безопасности. Эти концепции проиллюстрированы на рисунке 5.
Рисунок 5. Условия обеспечения безопасности
В предлагаемом международном стандарте IEC 1508 существует четыре уровня полноты безопасности, обозначенные как уровни полноты безопасности 1, 2, 3 и 4. Уровень полноты безопасности 1 — это самый низкий уровень полноты безопасности, а уровень полноты безопасности 4 — самый высокий. Уровень полноты безопасности (будь то 1, 2, 3 или 4) для системы, связанной с безопасностью, будет зависеть от важности роли, которую система, связанная с безопасностью, играет в достижении требуемого уровня безопасности для управляемого оборудования. Могут потребоваться несколько систем, связанных с безопасностью, некоторые из которых могут быть основаны на пневматической или гидравлической технологии.
Проектирование систем безопасности
Недавний анализ 34 инцидентов, связанных с системами управления (HSE), показал, что 60% всех случаев отказов были «встроены» до того, как система управления, связанная с безопасностью, была введена в действие (рис. 7). Рассмотрение всех фаз жизненного цикла безопасности необходимо, если необходимо производить адекватные системы, связанные с безопасностью.
Рисунок 7. Основная причина (по фазам) отказа системы управления
Функциональная безопасность систем, связанных с безопасностью, зависит не только от обеспечения надлежащего определения технических требований, но и от обеспечения эффективного выполнения технических требований и сохранения исходной проектной целостности в течение всего срока службы оборудования. Это может быть реализовано только в том случае, если существует эффективная система управления безопасностью, а люди, участвующие в любой деятельности, компетентны в отношении своих обязанностей. В частности, когда речь идет о сложных системах, связанных с безопасностью, важно наличие адекватной системы управления безопасностью. Это приводит к стратегии, которая обеспечивает следующее:
Для систематического удовлетворения всех соответствующих технических требований функциональной безопасности была разработана концепция жизненного цикла безопасности. Упрощенная версия жизненного цикла безопасности в новом международном стандарте IEC 1508 показана на рисунке 8. Ключевые этапы жизненного цикла безопасности:
Рисунок 8. Роль жизненного цикла безопасности в достижении функциональной безопасности
Уровень безопасности
Стратегия проектирования для достижения адекватных уровней полноты безопасности для систем, важных для безопасности, показана на рисунках 9 и 10. Уровень полноты безопасности основан на той роли, которую играет система, связанная с безопасностью, в достижении общего уровня. безопасности для управляемого оборудования. Уровень полноты безопасности определяет меры предосторожности, которые необходимо учитывать при проектировании как против случайных отказов оборудования, так и против систематических отказов.
Рисунок 9. Роль уровней полноты безопасности в процессе проектирования
Рисунок 10. Роль жизненного цикла безопасности в процессе спецификации и проектирования
Понятие безопасности и уровня безопасности относится к управляемому оборудованию. Концепция функциональной безопасности применяется к системам, связанным с безопасностью. Функциональная безопасность для систем, связанных с безопасностью, должна быть обеспечена, если необходимо обеспечить адекватный уровень безопасности для оборудования, создающего опасность. Заданный уровень безопасности для конкретной ситуации является ключевым фактором в спецификации требований полноты безопасности для систем, связанных с безопасностью.
Требуемый уровень безопасности будет зависеть от многих факторов, например от тяжести травм, количества людей, подвергающихся опасности, частоты, с которой люди подвергаются опасности, и продолжительности воздействия. Важными факторами будут восприятие и взгляды тех, кто подвергается опасному событию. При определении того, что представляет собой надлежащий уровень безопасности для конкретного применения, учитывается ряд исходных данных, в том числе следующие:
Итого
При проектировании и использовании систем, связанных с безопасностью, необходимо помнить, что именно управляемое оборудование создает потенциальную опасность. Системы, связанные с безопасностью, предназначены для снижения частоты (или вероятности) опасного события и/или последствий опасного события. После того как уровень безопасности установлен для оборудования, можно определить уровень полноты безопасности для системы, связанной с безопасностью, и именно уровень полноты безопасности позволяет разработчику указать меры предосторожности, которые необходимо предусмотреть в проекте, чтобы быть развернуты как против случайных аппаратных, так и против систематических отказов.
Машины, технологические установки и другое оборудование, если они неисправны, могут представлять опасность в результате опасных событий, таких как пожары, взрывы, передозировки радиации и движущиеся части. Один из способов выхода из строя таких установок, оборудования и машин — это отказы электромеханических, электронных и программируемых электронных (E/E/PE) устройств, используемых в конструкции их систем управления или безопасности. Эти сбои могут возникать либо из-за физических сбоев в устройстве (например, из-за случайного износа во времени (случайные отказы оборудования)); или из-за систематических ошибок (например, ошибок, допущенных в спецификации и конструкции системы, которые приводят к ее отказу из-за (1) определенной комбинации входных данных, (2) некоторых условий окружающей среды, (3) неправильных или неполных входных данных от датчиков, ( 4) неполный или ошибочный ввод данных операторами и (5) потенциальные систематические ошибки из-за плохого дизайна интерфейса).
Отказы систем безопасности
В этой статье рассматривается функциональная безопасность систем управления, связанных с безопасностью, и рассматриваются технические требования к аппаратному и программному обеспечению, необходимые для достижения требуемой полноты безопасности. Общий подход соответствует предложенному Международной электротехнической комиссией стандарту IEC 1508, части 2 и 3 (IEC 1993). Общая цель проекта международного стандарта IEC 1508, Функциональная безопасность: системы безопасности, заключается в том, чтобы обеспечить безопасность установок и оборудования. Ключевой целью разработки предлагаемого международного стандарта является предотвращение или минимизация частоты:
В статье «Электрические, электронные и программируемые электронные системы, связанные с безопасностью» изложен общий подход к управлению безопасностью, воплощенный в части 1 IEC 1508 для обеспечения безопасности систем управления и защиты, важных для безопасности. В этой статье описывается общий концептуальный инженерный проект, необходимый для снижения риска аварии до приемлемого уровня, включая роль любых систем управления или защиты, основанных на технологии E/E/PE.
На рисунке 1 риск от оборудования, технологической установки или машины (обычно называемой оборудование под контролем (EUC) без защитных устройств) отмечен на одном конце Шкалы рисков EUC, а целевой уровень риска, который необходим для обеспечения требуемого уровня безопасности, находится на другом конце. Между ними показано сочетание систем, связанных с безопасностью, и внешних средств снижения риска, необходимых для достижения требуемого снижения риска. Они могут быть различных типов: механические (например, предохранительные клапаны), гидравлические, пневматические, физические, а также системы E/E/PE. На рис. 2 подчеркивается роль каждого уровня безопасности в защите EUC по мере развития аварии.
Рисунок 1. Снижение риска: общие понятия
Рисунок 2. Общая модель: уровни защиты
При условии, что анализ опасностей и рисков был выполнен для EUC в соответствии с требованиями части 1 стандарта IEC 1508, был разработан общий концептуальный проект безопасности и, следовательно, установлены требуемые функции и целевой уровень полноты безопасности (SIL) для любого E/E/ Определена система управления или защиты PE. Целевой уровень полноты безопасности определяется относительно целевого показателя отказа (см. таблицу 1).
Таблица 1. Уровни полноты безопасности для систем защиты: целевые меры по отказу
Полнота безопасности Уровень Режим работы по требованию (вероятность невыполнения своей проектной функции по требованию)
4 10-5 ≤ × 10-4
3 10-4 ≤ × 10-3
2 10-3 ≤ × 10-2
1 10-2 ≤ × 10-1
Системы защиты
В этом документе излагаются технические требования, которые должен учитывать разработчик E/E/PE системы, связанной с безопасностью, для достижения требуемого целевого уровня полноты безопасности. Основное внимание уделяется типовой системе защиты, использующей программируемую электронику, чтобы обеспечить более глубокое обсуждение ключевых вопросов с небольшой потерей общности. Типичная система защиты показана на рис. 3, где изображена одноканальная система безопасности с вторичным отключением, активированным с помощью диагностического устройства. При нормальной работе небезопасное состояние EUC (например, превышение скорости в машине, высокая температура на химическом заводе) будет обнаружено датчиком и передано в программируемую электронику, которая даст команду исполнительным механизмам (через выходные реле) включить перевести систему в безопасное состояние (например, отключить питание электродвигателя машины, открыть клапан для сброса давления).
Рисунок 3. Типовая система защиты
Но что делать, если в компонентах системы защиты есть сбои? Это функция вторичного отключения, которая активируется функцией диагностики (самопроверки) данной конструкции. Однако система не является полностью безотказной, так как проект имеет лишь определенную вероятность быть доступным при запросе на выполнение своей функции безопасности (у него есть определенная вероятность отказа по запросу или определенный уровень полноты безопасности). Например, описанная выше конструкция может обнаруживать и допускать определенные типы отказов выходной платы, но не способна противостоять отказу входной платы. Следовательно, его полнота безопасности будет намного ниже, чем у конструкции с более надежной входной платой, или улучшенной диагностикой, или какой-либо их комбинацией.
Существуют и другие возможные причины отказов карт, в том числе «традиционные» физические сбои в оборудовании, систематические сбои, в том числе ошибки в спецификации требований, сбои реализации в программном обеспечении и неадекватная защита от условий окружающей среды (например, влажности). Диагностика в этой одноканальной конструкции может не охватывать все эти типы отказов, и, следовательно, это ограничит уровень полноты безопасности, достигаемый на практике. (Покрытие — это мера процента ошибок, которые проект может обнаружить и безопасно обработать.)
Технические требования
Части 2 и 3 проекта IEC 1508 обеспечивают основу для определения различных потенциальных причин отказа в аппаратном и программном обеспечении и для выбора конструктивных особенностей, которые устраняют эти потенциальные причины отказа в соответствии с требуемым уровнем полноты безопасности системы, связанной с безопасностью. Например, общий технический подход к системе защиты на рисунке 3 показан на рисунке 4. На рисунке показаны две основные стратегии устранения неисправностей и отказов: (1) предотвращение ошибок, когда принимаются меры для предотвращения возникновения неисправностей; и (2) Отказоустойчивость, где конструкция создается специально для того, чтобы допускать указанные неисправности. Упомянутая выше одноканальная система является примером (ограниченно) отказоустойчивой конструкции, в которой диагностика используется для обнаружения определенных сбоев и перевода системы в безопасное состояние до того, как может произойти опасный сбой.
Рис. 4. Спецификация проекта: проектное решение
Предотвращение ошибок
Предотвращение ошибок пытается предотвратить появление ошибок в системе. Основной подход заключается в использовании систематического метода управления проектом, при котором безопасность рассматривается как определяемое и управляемое качество системы во время проектирования, а затем во время эксплуатации и технического обслуживания. Подход, аналогичный обеспечению качества, основан на концепции обратной связи и включает: (1) планирование (определение целей безопасности, определение путей и средств достижения целей); (2) измерение достижения по сравнению с планом во время реализации и (3) применение Обратная связь исправить любые отклонения. Обзоры проектов — хороший пример техники предотвращения ошибок. В МЭК 1508 этому «качественному» подходу к предотвращению отказов способствуют требования по использованию жизненного цикла безопасности и использованию процедур управления безопасностью как для аппаратного, так и для программного обеспечения. Для последних они часто проявляются в виде процедур обеспечения качества программного обеспечения, таких как описанные в ISO 9000-3 (1990).
Кроме того, части 2 и 3 стандарта IEC 1508 (касающиеся аппаратного и программного обеспечения соответственно) классифицируют определенные методы или меры, которые считаются полезными для предотвращения отказов на различных этапах жизненного цикла безопасности. В таблице 2 приведен пример из части 3 для этапа проектирования и разработки программного обеспечения. Разработчик может использовать эту таблицу для помощи в выборе методов предотвращения отказов в зависимости от требуемого уровня полноты безопасности. Для каждого метода или меры в таблицах есть рекомендации для каждого Уровня Полноты Безопасности, от 1 до 4. Диапазон рекомендаций включает Настоятельно Рекомендовано (HR), Рекомендовано (R), Нейтрально — ни за, ни против (—) и Не рекомендуется (НР).
Таблица 2. Проектирование и разработка программного обеспечения
Техника/мера |
Уровень безопасности 1 |
Уровень безопасности 2 |
Уровень безопасности 3 |
Уровень безопасности 4 |
1. Формальные методы, включая, например, CCS, CSP, HOL, LOTOS |
- |
R |
R |
HR |
2. Полуформальные методы |
HR |
HR |
HR |
HR |
3. Структурированный. Методология, включая, например, JSD, MASCOT, SADT, SSADM и YOURDON |
HR |
HR |
HR |
HR |
4. Модульный подход |
HR |
HR |
HR |
HR |
5. Стандарты дизайна и кодирования |
R |
HR |
HR |
HR |
HR = настоятельно рекомендуется; R = рекомендуется; NR = не рекомендуется; — = нейтрально: метод/мера не за или против SIL.
Примечание: пронумерованный метод/меру следует выбирать в соответствии с уровнем полноты безопасности.
Отказоустойчивость
IEC 1508 требует повышения уровня отказоустойчивости по мере увеличения целевого показателя полноты безопасности. Однако стандарт признает, что отказоустойчивость более важна, когда системы (и компоненты, составляющие эти системы) являются сложными (обозначаются как тип B в IEC 1508). Для менее сложных, «хорошо зарекомендовавших себя» систем степень отказоустойчивости может быть снижена.
Устойчивость к случайным аппаратным сбоям
В таблице 3 приведены требования к отказоустойчивости при случайных аппаратных отказах в сложных аппаратных компонентах (например, микропроцессорах) при использовании в системе защиты, такой как показана на рис. 3. Разработчику может потребоваться рассмотреть подходящее сочетание диагностики, отказоустойчивости и ручные контрольные проверки для преодоления этого класса ошибок, в зависимости от требуемого уровня полноты безопасности.
Таблица 3. Уровень полноты безопасности — требования к отказам для компонентов типа B1
1 Связанные с безопасностью необнаруженные неисправности должны быть обнаружены посредством контрольной проверки.
2 Для компонентов, не имеющих диагностического покрытия в режиме онлайн, система должна быть способна выполнять функцию безопасности при наличии одиночной неисправности. Связанные с безопасностью необнаруженные неисправности должны быть обнаружены проверочной проверкой.
3 Для компонентов с высоким оперативным охватом диагностикой система должна быть способна выполнять функцию безопасности при наличии одиночной неисправности. Для компонентов, не имеющих расширенного оперативного диагностического охвата, система должна быть способна выполнять функцию безопасности при наличии двух отказов. Связанные с безопасностью необнаруженные неисправности должны быть обнаружены проверочной проверкой.
4 Компоненты должны быть способны выполнять функцию безопасности при наличии двух неисправностей. Неисправности должны быть обнаружены с высоким диагностическим охватом в режиме онлайн. Связанные с безопасностью необнаруженные неисправности должны быть обнаружены проверочной проверкой. Количественный анализ оборудования должен основываться на предположениях о наихудшем случае.
1Компоненты, режимы отказов которых не определены или не поддаются тестированию, или для которых имеются плохие данные об отказах из практического опыта (например, программируемые электронные компоненты).
IEC 1508 помогает разработчику, предоставляя таблицы проектных спецификаций (см. таблицу 4) с проектными параметрами, проиндексированными относительно уровня полноты безопасности для ряда широко используемых архитектур систем защиты.
Таблица 4. Требования к уровню полноты безопасности 2 — Архитектура программируемых электронных систем для систем защиты
Конфигурация системы РЕ |
Диагностическое покрытие на канал |
Интервал проверки в автономном режиме (TI) |
Среднее время до ложной поездки |
Одиночное защитное заземление, одиночный ввод/вывод, внешн. ВД |
Высокий |
6 месяца |
1.6 лет |
Двойное защитное заземление, одиночный ввод/вывод |
Высокий |
6 месяца |
10 лет |
Двойной PE, двойной ввод/вывод, 2oo2 |
Высокий |
3 месяца |
1,281 лет |
Двойной PE, двойной ввод/вывод, 1oo2 |
Ничто |
2 месяца |
1.4 лет |
Двойной PE, двойной ввод/вывод, 1oo2 |
Низкий |
5 месяца |
1.0 лет |
Двойной PE, двойной ввод/вывод, 1oo2 |
Средний |
18 месяца |
0.8 лет |
Двойной PE, двойной ввод/вывод, 1oo2 |
Высокий |
36 месяца |
0.8 лет |
Двойной PE, двойной ввод/вывод, 1oo2D |
Ничто |
2 месяца |
1.9 лет |
Двойной PE, двойной ввод/вывод, 1oo2D |
Низкий |
4 месяца |
4.7 лет |
Двойной PE, двойной ввод/вывод, 1oo2D |
Средний |
18 месяца |
18 лет |
Двойной PE, двойной ввод/вывод, 1oo2D |
Высокий |
48 + месяцы |
168 лет |
Тройной PE, тройной ввод/вывод, IPC, 2oo3 |
Ничто |
1 месяц |
20 лет |
Тройной PE, тройной ввод/вывод, IPC, 2oo3 |
Низкий |
3 месяца |
25 лет |
Тройной PE, тройной ввод/вывод, IPC, 2oo3 |
Средний |
12 месяца |
30 лет |
Тройной PE, тройной ввод/вывод, IPC, 2oo3 |
Высокий |
48 + месяцы |
168 лет |
В первом столбце таблицы представлены архитектуры с различной степенью отказоустойчивости. Как правило, архитектуры, расположенные в нижней части таблицы, имеют более высокую степень отказоустойчивости, чем архитектуры, расположенные в верхней части. Система 1oo2 (один из двух) способна выдержать любой один сбой, как и 2oo3.
Во втором столбце описывается процентное покрытие любой внутренней диагностики. Чем выше уровень диагностики, тем больше неисправностей будет отловлено. В системе защиты это важно, потому что при ремонте неисправного компонента (например, карты ввода) в разумные сроки (часто 8 часов) функциональная безопасность практически не снижается. (Примечание: это не относится к системе непрерывного управления, поскольку любая неисправность может привести к немедленному возникновению небезопасного состояния и возможности возникновения инцидента.)
В третьем столбце указан интервал между проверочными испытаниями. Это специальные тесты, которые необходимо провести для тщательной проверки системы защиты, чтобы убедиться в отсутствии скрытых неисправностей. Обычно они выполняются поставщиком оборудования в периоды остановки предприятия.
В четвертом столбце показана частота ложных отключений. Ложное отключение — это такое отключение, которое приводит к остановке установки или оборудования при отсутствии отклонений в технологическом процессе. Платой за безопасность часто является более высокая частота ложных срабатываний. Простая система защиты с резервированием — 1oo2 — имеет, при неизменности всех других конструктивных факторов, более высокий уровень полноты безопасности, но также более высокую частоту ложных срабатываний, чем одноканальная (1oo1) система.
Если одна из архитектур в таблице не используется или если разработчик хочет провести более фундаментальный анализ, то МЭК 1508 допускает эту альтернативу. Затем можно использовать методы проектирования надежности, такие как марковское моделирование, для расчета аппаратного элемента уровня полноты безопасности (Johnson 1989; Goble 1992).
Устойчивость к систематическим отказам и отказам по общей причине
Этот класс отказов очень важен для систем безопасности и является ограничивающим фактором для достижения полноты безопасности. В системе с резервированием компонент или подсистема или даже вся система дублируются для достижения высокой надежности за счет менее надежных частей. Повышение надежности происходит потому, что статистически вероятность одновременного отказа двух систем из-за случайных сбоев будет произведением надежности отдельных систем и, следовательно, будет намного ниже. С другой стороны, систематические отказы и отказы по общей причине приводят к случайному отказу резервированных систем, когда, например, ошибка спецификации в программном обеспечении приводит к одновременному отказу дублированных частей. Другим примером может быть отказ общего источника питания в резервной системе.
IEC 1508 содержит таблицы технических методов, ранжированных по уровню полноты безопасности, которые считаются эффективными для обеспечения защиты от систематических отказов и отказов по общей причине.
Примерами методов, обеспечивающих защиту от систематических сбоев, являются разнообразие и аналитическая избыточность. Основой разнообразия является то, что если разработчик реализует второй канал в резервированной системе, используя другую технологию или язык программного обеспечения, то отказы в резервных каналах можно рассматривать как независимые (т. е. низкая вероятность случайного отказа). Однако, особенно в области программных систем, есть некоторые предположения, что этот метод может быть неэффективным, поскольку большинство ошибок содержится в спецификации. Аналитическая избыточность пытается использовать избыточную информацию на заводе или машине для выявления неисправностей. Для других причин систематических отказов — например, внешних нагрузок — в стандарте приведены таблицы с рекомендациями по надлежащей инженерной практике (например, разделение сигнальных и силовых кабелей), индексированные по уровню полноты безопасности.
Выводы
Компьютерные системы предлагают множество преимуществ — не только экономических, но и потенциальных для повышения безопасности. Однако для реализации этого потенциала требуется гораздо больше внимания к деталям, чем при использовании обычных системных компонентов. В этой статье изложены основные технические требования, которые необходимо учитывать разработчику для успешного использования этой технологии.
Тракторы и другая мобильная техника для сельскохозяйственных, лесных, строительных и горнодобывающих работ, а также для погрузочно-разгрузочных работ могут представлять серьезную опасность, когда транспортные средства переворачиваются набок, опрокидываются вперед или назад. Риски возрастают в случае колесных тракторов с высоким центром тяжести. Другими транспортными средствами, представляющими опасность опрокидывания, являются гусеничные тракторы, погрузчики, краны, сборщики фруктов, бульдозеры, самосвалы, скреперы и грейдеры. Эти аварии обычно происходят слишком быстро, чтобы водители и пассажиры могли освободиться от оборудования, и они могут оказаться зажатыми под автомобилем. Например, тракторы с высоким центром тяжести имеют значительную вероятность опрокидывания (а у узких тракторов даже меньшая устойчивость, чем у широких). Ртутный выключатель двигателя для отключения питания при обнаружении бокового движения был введен на тракторах, но оказалось, что он слишком медленный, чтобы справиться с динамическими силами, возникающими при опрокидывании (Springfeldt 1993). Поэтому от предохранительного устройства отказались.
Тот факт, что такое оборудование часто используется на наклонной или неровной поверхности или на мягкой земле, а иногда и в непосредственной близости от канав, траншей или котлованов, является серьезной причиной опрокидывания. Если дополнительное оборудование прикреплено к трактору высоко, вероятность опрокидывания назад при подъеме по склону (или опрокидывания вперед при спуске) возрастает. Кроме того, трактор может перевернуться из-за потери управления из-за давления, оказываемого прицепным оборудованием (например, когда тележка движется вниз по склону, а навесное оборудование не тормозится и наезжает на трактор). Особые опасности возникают при использовании тракторов в качестве тягачей, в частности, если буксирный крюк на тракторе расположен выше оси колеса.
История
Уведомление о проблеме опрокидывания было принято на национальном уровне в некоторых странах, где произошло много фатальных опрокидываний. В Швеции и Новой Зеландии разработка и испытания конструкций защиты от опрокидывания (ROPS) на тракторах (рис. 1) уже проводились в 1950-х годах, но за этой работой последовали правила только со стороны шведских властей; эти правила вступили в силу с 1959 года (Springfeldt 1993).
Рисунок 1. Обычные типы ROPS на тракторах
Предлагаемые правила, предписывающие ROPS для тракторов, встретили сопротивление в сельскохозяйственном секторе в нескольких странах. Решительное сопротивление было встречено планами, требующими от работодателей устанавливать ROPS на существующие тракторы, и даже предложением производителей оснащать ROPS только новые тракторы. В конце концов, многие страны успешно ввели ROPS для новых тракторов, а позже некоторые страны смогли потребовать, чтобы ROPS также устанавливались на старые тракторы. Международные стандарты, касающиеся тракторов и землеройных машин, включая стандарты испытаний ROPS, способствовали созданию более надежных конструкций. Тракторы были спроектированы и изготовлены с более низким центром тяжести и расположенными ниже буксирными крюками. Полный привод снизил риск опрокидывания. Но доля тракторов с ROPS в странах со многими старыми тракторами и без мандатов на модернизацию ROPS все еще довольно низка.
Исследования
Аварии с опрокидыванием, особенно с участием тракторов, изучались исследователями во многих странах. Однако централизованной международной статистики по количеству несчастных случаев, вызванных рассматриваемыми в данной статье видами подвижной техники, не существует. Тем не менее имеющиеся статистические данные на национальном уровне показывают, что их число велико, особенно в сельском хозяйстве. Согласно шотландскому отчету об авариях с опрокидыванием тракторов в период 1968–1976 гг., 85% задействованных тракторов были оснащены оборудованием во время аварии, из них половина имела прицепное оборудование, а половина - навесное оборудование. Две трети несчастных случаев с опрокидыванием трактора в шотландском отчете произошли на склонах (Springfeldt 1993). Позже было доказано, что количество аварий уменьшится после введения обучения вождению на склонах, а также применения прибора для измерения крутизны склонов в сочетании с индикатором безопасных пределов уклонов.
В других исследованиях новозеландские ученые заметили, что половина несчастных случаев с опрокидыванием со смертельным исходом произошла на ровной поверхности или на пологих склонах, и только одна десятая — на крутых склонах. На ровной поверхности водители тракторов могут быть менее внимательны к опасности опрокидывания и могут неправильно оценить риск, связанный с канавами и неровностями почвы. Из числа смертельных случаев при опрокидывании тракторов в Новой Зеландии в период 1949–1980 гг. 80 % приходилось на колесные тракторы и 20 % — на гусеничные (Springfeldt, 1993). Исследования, проведенные в Швеции и Новой Зеландии, показали, что около 80% смертельных случаев при опрокидывании трактора произошло, когда трактор опрокинулся на бок. Половина тракторов, попавших в аварию в Новой Зеландии, перевернулась на 180°.
Исследования корреляции между смертельным исходом при опрокидывании в Западной Германии и модельным годом сельскохозяйственных тракторов (Springfeldt 1993) показали, что 1 из 10,000 1957 старых незащищенных тракторов, произведенных до 1970 г., имел смертельные случаи при опрокидывании. Из тракторов с установленной ROPS, выпущенных в 1 году и позже, 25,000 из 1980 1985 тракторов попал в аварию со смертельным исходом. Две трети жертв опрокидывания трактора в Западной Германии в период 1993–1 гг. были выброшены из охраняемой зоны, а затем сбиты или сбиты трактором (Springfeldt XNUMX). Из нефатальных опрокидываний четверть водителей выбрасывали с водительского места, но не наезжали. Очевидно, что риск гибели увеличивается, если водитель выбрасывается за пределы охраняемой зоны (аналогично автомобильным авариям). Большинство задействованных тягачей имели двухстоечную носовую часть (рис. XNUMXС), которая не препятствует выбрасыванию водителя. В нескольких случаях ROPS ломалась или сильно деформировалась.
Относительная частота травм на 100,000 1993 тракторов в разные периоды в некоторых странах и снижение уровня смертности были рассчитаны Springfeldt (100,000). Эффективность ROPS в снижении травматизма при опрокидывании трактора была доказана в Швеции, где число погибших на 17 0.3 тракторов сократилось примерно с 1960 до 1990 за период в три десятилетия (2–98 гг.) (рис. 1). В конце периода было подсчитано, что около 24% тракторов были оснащены ROPS, в основном в виде защищенной от ударов кабины (рис. 4А). В Норвегии за аналогичный период число погибших сократилось с 100,000 до XNUMX на XNUMX XNUMX тракторов. Однако худшие результаты были достигнуты в Финляндии и Новой Зеландии.
Рисунок 2. Травмы в результате опрокидывания на 100,000 1957 тракторов в Швеции в период с 1990 по XNUMX год.
Предотвращение травм при опрокидывании
Риск опрокидывания наиболее высок в случае тракторов; однако в сельскохозяйственных и лесных работах мало что можно сделать для предотвращения опрокидывания тракторов. Установка ROPS на тракторы и другие типы землеройных машин с потенциальной опасностью опрокидывания может снизить риск травм при условии, что водители остаются на своих местах во время опрокидывания (Springfeldt 1993). Частота смертельных случаев при опрокидывании во многом зависит от доли используемых защищенных машин и типов используемых ROPS. Лук (рис. 1С) обеспечивает гораздо меньшую защиту, чем кабина или рама (Springfeldt 1993). Наиболее эффективной конструкцией является защищенная от ударов кабина, которая позволяет водителю оставаться внутри защищенным во время опрокидывания. (Еще одна причина для выбора кабины заключается в том, что она обеспечивает защиту от непогоды.) Наиболее эффективным средством удержания водителя в пределах защиты ROPS во время опрокидывания является ремень безопасности, при условии, что водитель использует ремень во время работы с оборудованием. В некоторых странах на водительском сиденье установлены информационные таблички, в которых рекомендуется держаться за рулевое колесо в случае опрокидывания. Дополнительная мера безопасности заключается в том, чтобы спроектировать кабину водителя или внутреннее пространство и ROPS таким образом, чтобы предотвратить воздействие таких опасностей, как острые края или выступы.
Во всех странах опрокидывание самоходной техники, в основном тракторов, приводит к серьезным травмам. Однако между странами существуют значительные различия в технических спецификациях, касающихся конструкции машин, а также в административных процедурах проверок, испытаний, инспекций и сбыта. Международное разнообразие, которое характеризует усилия по обеспечению безопасности в этой связи, можно объяснить следующими соображениями:
Правила техники безопасности
Характер правил, регулирующих требования к ROPS, и степень применения правил в стране оказывают сильное влияние на количество несчастных случаев с опрокидыванием, особенно со смертельным исходом. Имея это в виду, разработке более безопасных машин способствовали директивы, кодексы и стандарты, изданные международными и национальными организациями. Кроме того, во многих странах приняты строгие предписания по ROPS, что привело к значительному сокращению травм при опрокидывании.
Европейское Экономическое Сообщество
Начиная с 1974 г. Европейское экономическое сообщество (ЕЭС) издавало директивы, касающиеся одобрения типа колесных сельскохозяйственных и лесохозяйственных тракторов, а в 1977 г. издало специальные директивы, касающиеся ROPS, в том числе их крепления к тракторам (Springfeldt 1993; EEC 1974, 1977, 1979, 1982, 1987). Директивы предписывают процедуру одобрения типа и сертификации производителями тракторов, а ROPS должны быть рассмотрены в рамках экзамена ЕЭС на одобрение типа. Директивы получили признание всех стран-членов.
Некоторые директивы ЕЭС, касающиеся ROPS на тракторах, были отменены 31 декабря 1995 г. и заменены общей директивой по машинному оборудованию, которая применяется к тем типам машин, которые представляют опасность из-за их мобильности (EEC 1991). Колесные тракторы, а также некоторые землеройные машины мощностью более 15 кВт (а именно гусеничные и колесные погрузчики, экскаваторы-погрузчики, гусеничные тракторы, скреперы, грейдеры и шарнирно-сочлененные самосвалы) должны быть оснащены ROPS. В случае опрокидывания конструкция ROPS должна обеспечивать водителю и операторам достаточный объем, ограничивающий отклонение (т. е. пространство, позволяющее телам пассажиров перемещаться до контакта с элементами салона во время аварии). Ответственность за проведение соответствующих испытаний лежит на производителях или их уполномоченных представителях.
Организация Экономического Сотрудничества и Развития
В 1973 и 1987 годах Организация экономического сотрудничества и развития (ОЭСР) утвердила стандартные коды для испытаний тракторов (Спрингфельдт, 1993; ОЭСР, 1987). В них приводятся результаты испытаний тракторов и описывается испытательное оборудование и условия испытаний. Коды требуют тестирования многих частей и функций машин, например прочности ROPS. Правила OECD для тракторов описывают статический и динамический методы испытаний ROPS на определенных типах тракторов. ROPS может быть разработан исключительно для защиты водителя в случае опрокидывания трактора. Он должен быть повторно испытан для каждой модели трактора, на который должна быть установлена конструкция ROPS. Кодексы также требуют, чтобы на конструкцию можно было установить более или менее временную защиту водителя от непогоды. Кодексы для тракторов были приняты всеми организациями-членами ОЭСР с 1988 года, но на практике Соединенные Штаты и Япония также принимают ROPS, которые не соответствуют требованиям кодекса, если предусмотрены ремни безопасности (Springfeldt 1993).
Международная организация труда
В 1965 году Международная организация труда (МОТ) в своем руководстве, Безопасность и здоровье при сельскохозяйственных работахтребовалось, чтобы кабина или рама достаточной прочности были должным образом закреплены на тракторах, чтобы обеспечить удовлетворительную защиту водителя и пассажиров внутри кабины в случае опрокидывания трактора (Springfeldt 1993; ILO 1965). В соответствии с нормами и правилами МОТ сельскохозяйственные и лесохозяйственные тракторы должны быть оснащены ROPS для защиты оператора и любого пассажира в случае опрокидывания, падения предметов или смещения груза (МОТ, 1976 г.).
Установка ROPS не должна отрицательно сказываться на
Международные и национальные стандарты
В 1981 году Международная организация по стандартизации (ISO) выпустила стандарт на тракторы и машины для сельского и лесного хозяйства (ISO 1981). Стандарт описывает метод статических испытаний ROPS и устанавливает условия приемки. Стандарт был одобрен организациями-членами в 22 странах; однако Канада и США выразили несогласие с документом по техническим причинам. Стандарт и рекомендуемая практика, выпущенные в 1974 году Обществом автомобильных инженеров (SAE) в Северной Америке, содержат требования к характеристикам ROPS на колесных сельскохозяйственных тракторах и промышленных тракторах, используемых в строительстве, скреперах с резиновыми шинами, фронтальных погрузчиках, бульдозерах, гусеничных погрузчиках. и автогрейдеров (SAE 1974 и 1975). Содержание стандарта было принято в качестве правил в Соединенных Штатах и в канадских провинциях Альберта и Британская Колумбия.
Правила и соответствие
Кодексы и международные стандарты ОЭСР касаются проектирования и изготовления ROPS, а также контроля их прочности, но не имеют полномочий требовать применения такого рода защиты на практике (OECD 1987; ISO 1981). Европейское экономическое сообщество также предложило, чтобы тракторы и землеройные машины были оснащены защитой (EEC 1974-1987). Целью директив ЕЭС является достижение единообразия среди национальных организаций в отношении безопасности нового оборудования на этапе производства. Страны-члены обязаны следовать директивам и издавать соответствующие предписания. Начиная с 1996 года страны-члены ЕЭС намерены издавать правила, требующие, чтобы новые тракторы и землеройные машины были оснащены ROPS.
В 1959 г. Швеция стала первой страной, в которой для новых тракторов потребовалась конструкция ROPS (Springfeldt 1993). Соответствующие требования вступили в силу в Дании и Финляндии спустя десять лет. Позднее, в 1970-х и 1980-х годах, обязательные требования по ROPS на новых тракторах стали действовать в Великобритании, Западной Германии, Новой Зеландии, США, Испании, Норвегии, Швейцарии и других странах. Во всех этих странах, кроме США, через несколько лет правила были распространены на старые тракторы, но эти правила не всегда были обязательными. В Швеции все тракторы должны быть оснащены защитной кабиной, правило, которое в Великобритании применяется только ко всем тракторам, используемым сельскохозяйственными рабочими (Springfeldt 1993). В Дании, Норвегии и Финляндии все тракторы должны быть оснащены как минимум рамой, в то время как в США и австралийских штатах допускаются луки. В Соединенных Штатах тракторы должны быть оснащены ремнями безопасности.
В Соединенных Штатах погрузочно-разгрузочная техника, произведенная до 1972 года и используемая в строительных работах, должна быть оборудована ROPS, отвечающей минимальным стандартам производительности (US Bureau of National Affairs 1975). К машинам, подпадающим под действие требования, относятся некоторые скреперы, фронтальные погрузчики, бульдозеры, гусеничные тракторы, погрузчики и автогрейдеры. Произведено дооснащение ROPS на машинах, выпущенных примерно тремя годами ранее.
SЕЗЮМЕ
В странах с обязательными требованиями к ROPS для новых тракторов и дооснащением ROPS на старых тракторах произошло снижение травм при опрокидывании, особенно со смертельным исходом. Очевидно, что наиболее эффективным типом ROPS является защищенная от ударов кабина. Лук дает плохую защиту в случае опрокидывания. Во многих странах предписана эффективная конструкция ROPS, по крайней мере, для новых тракторов и с 1996 года для землеройных машин. Несмотря на этот факт, некоторые органы, по-видимому, принимают типы ROPS, которые не соответствуют требованиям, установленным ОЭСР и ИСО. Ожидается, что более общая гармонизация правил, регулирующих ROPS, будет осуществляться постепенно во всем мире, включая развивающиеся страны.
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: МОТ не несет ответственности за контент, представленный на этом веб-портале, который представлен на каком-либо языке, кроме английского, который является языком, используемым для первоначального производства и рецензирования оригинального контента. Некоторые статистические данные не обновлялись с тех пор. выпуск 4-го издания Энциклопедии (1998 г.)».