58. 安全應用
章節編輯: Kenneth Gerecke 和 Charles T. Pope
系統分析
何孟忠
手持和便攜式電動工具安全
美國勞工部——職業安全與健康管理局; 肯尼斯·格瑞克編輯
機器的運動部件
Tomas Backström 和 Marianne Döös
機器防護
美國勞工部——職業安全與健康管理局; 肯尼斯·格瑞克編輯
存在檢測器
保羅·施賴伯
用於控制、隔離和轉換能量的設備
勒內特羅克斯勒
安全相關應用
Dietmar Reinert 和 Karlheinz Meffert
軟件和計算機:混合自動化系統
Waldemar Karwowski 和 Jozef Zurada
安全控制系統設計原則
格奧爾格·馮德拉克
CNC 機床安全原則
Toni Retsch、Guido Schmitter 和 Albert Marty
工業機器人安全原則
Toni Retsch、Guido Schmitter 和 Albert Marty
電氣、電子和可編程電子安全相關控制系統
羅恩·貝爾
基於電氣、電子和可編程電子設備的安全相關係統的技術要求
約翰·布拉贊代爾和羅恩·貝爾
翻轉
本特·斯普林菲爾德
從高處墜落
讓·阿爾托
密閉空間
尼爾·麥克馬納斯
預防原則:材料處理和內部交通
卡里·哈基寧
單擊下面的鏈接以在文章上下文中查看表格。
1. 雙按鈕控制電路可能出現的功能障礙
2. 機器護罩
3. 設備
4. 進料和出料方式
5. 機械控制中的電路結構組合
6. 保護系統的安全完整性等級
7. 軟件設計與開發
8. 安全完整性等級:B 類組件
9. 完整性要求:電子系統架構
10. 根據法律、法規的要求、強製性的行政執法或司法要求所; 從高處墜落:魁北克 1982-1987
11. 根據法律、法規的要求、強製性的行政執法或司法要求所;典型的防墜落和防墜落系統
12. 根據法律、法規的要求、強製性的行政執法或司法要求所; 防墜落與防墜落的區別
13. 根據法律、法規的要求、強製性的行政執法或司法要求所; 評估危險情況的樣本表格
14. 根據法律、法規的要求、強製性的行政執法或司法要求所; 樣品入境許可證
指向縮略圖以查看圖片標題,單擊以查看文章上下文中的圖片。
A 系統 可以定義為一組相互依賴的組件,這些組件以在指定條件下執行給定功能的方式組合在一起。 從這個意義上說,機器是系統的有形且特別明確的例子,但還有其他系統,涉及團隊或車間或工廠中的男性和女性,這些系統要復雜得多,也不容易定義。 安全指引 表示不存在事故或傷害的危險或風險。 為了避免歧義,一個的一般概念 不想要的發生 將被雇用。 絕對的安全,從或多或少的不幸事件不可能發生的意義上說,是不可能實現的; 實際上,人們必須以非常低而不是零的意外事件概率為目標。
一個給定的系統可能被認為是安全的或不安全的,僅就其實際預期的性能而言。 考慮到這一點,系統的安全級別可以定義如下:“對於任何給定的意外事件集,系統的安全(或不安全)級別取決於這些事件在給定時間內發生的概率。一段的時間”。 在目前的聯繫中會引起關注的意外事件的例子包括:多人死亡、一人或多人死亡、重傷、輕傷、環境破壞、對生物的有害影響、工廠或建築物的破壞以及重大或有限的材料或設備損壞。
安全系統分析的目的
系統安全分析的目的是確定影響意外事件發生概率的因素,研究這些事件發生的方式,並最終制定預防措施以降低其發生概率。
問題的分析階段可以分為兩個主要方面:
一旦研究了各種功能障礙及其後果,系統安全分析師就可以將注意力轉移到預防措施上。 該領域的研究將直接基於早期的發現。 預防措施的調查遵循系統安全分析的兩個主要方面。
分析方法
系統安全分析可以在事件發生之前或之後進行(先驗或後驗); 在這兩種情況下,所使用的方法可能是直接的,也可能是相反的。 先驗分析發生在意外發生之前。 分析家採取一定數量的此類事件,並著手發現可能導致這些事件發生的各個階段。 相比之下,後驗分析是在意外事件發生後進行的。 其目的是為未來提供指導,特別是得出可能對任何後續先驗分析有用的任何結論。
雖然看起來先驗分析比後驗分析更有價值,因為它先於事件發生,但兩者實際上是互補的。 使用哪種方法取決於所涉及系統的複雜性以及關於該主題的已知信息。 對於機器或工業設施等有形系統,以前的經驗通常可以用來準備相當詳細的先驗分析。 然而,即便如此,該分析也不一定是萬無一失的,並且肯定會受益於主要基於對操作過程中發生的事件的研究的後續後驗分析。 對於更複雜的涉及人的系統,如輪班、車間或工廠,後驗分析就更為重要。 在這種情況下,過去的經驗並不總是足以進行詳細和可靠的先驗分析。
後驗分析可能會發展成先驗分析,因為分析人員會超越導致所討論事件的單一過程,並開始調查可能合理地導致此類事件或類似事件的各種事件。
後驗分析成為先驗分析的另一種方式是,重點不是放在發生的事件上(其預防是當前分析的主要目的),而是放在不太嚴重的事件上。 這些事件,例如技術故障、材料損壞和潛在或輕微事故,本身意義不大,但可被識別為更嚴重事件的警告信號。 在這種情況下,雖然是在小事件發生之後進行的,但分析將是對尚未發生的更嚴重事件的先驗分析。
研究兩個或多個事件序列背後的機製或邏輯有兩種可能的方法:
圖1是需要兩個按鈕的控制電路圖(B1 和B.2) 同時按下以激活繼電器線圈 (R) 並啟動機器。 這個例子可以用來說明,在實踐中, 直接 反轉 系統安全分析中使用的方法。
圖 1. 雙按鈕控制電路
直接法
在 直接法,分析人員首先 (1) 列出故障、功能障礙和失調,(2) 研究它們的影響,以及 (3) 確定這些影響是否對安全構成威脅。 在圖1的情況下,可能會出現以下故障:
然後,分析人員可以推斷出這些故障的後果,並且可以以表格形式列出結果(表 1)。
表 1. 雙按鈕控制電路可能出現的功能障礙及其後果
故障 |
後果 |
在 2 和 2' 之間斷開電線 |
無法啟動機器* |
B 意外關閉1 (或乙2 ) |
沒有直接後果 |
C處聯繫1 (或 C2 ) 後果 |
沒有直接後果,但有可能 |
1和1'之間短路 |
繼電器線圈R的激活——意外啟動 |
* 對系統可靠性有直接影響的事件
** 導致系統安全級別嚴重降低的事件
*** 要避免的危險事件
見正文和圖 1。
在表 1 中,危險的或可能嚴重降低系統安全等級的後果可以用 *** 等常規符號表示。
注意: 在表 1 中,2 和 2' 之間的導線斷裂(如圖 1 所示)會導致不被視為危險的情況。 對系統安全無直接影響; 然而,此類事件發生的概率直接關係到系統的可靠性。
直接法特別適用於模擬。 圖 2 顯示了設計用於研究沖壓控制電路安全性的模擬模擬器。 控制電路的仿真可以驗證,只要沒有故障,電路實際上能夠在不違反安全標準的情況下確保所需的功能。 此外,模擬器可以讓分析人員在電路的各個組件中引入故障,觀察它們的後果,從而區分那些設計正確(很少或沒有危險故障)的電路和那些設計不當的電路。 這種類型的安全分析也可以使用計算機進行。
圖 2. 用於研究壓力控制電路的模擬器
逆向法
在 逆向法,分析人員從不希望發生的事件、事件或事故向後工作,朝著各種先前的事件確定哪些事件可能導致要避免的事件。 在圖 1 中,要避免的最終情況是機器意外啟動。
這種分析的結果可以用類似於樹的圖表表示(因此反向方法被稱為“故障樹分析”),如圖 3 所示。
圖 3. 可能的事件鏈
該圖遵循邏輯運算,其中最重要的是“或”和“與”運算。 “或”運算表示 [X1] 將在 [A] 或 [B](或兩者)發生時發生。 “AND”運算表示在 [X2] 可能發生,[C] 和 [D] 都必鬚髮生(見圖 4)。
圖 4. 兩個邏輯操作的表示
反向方法經常用於有形系統的先驗分析,特別是在化學、航空、航天和核工業中。 還發現它作為調查工業事故的方法非常有用。
儘管它們有很大不同,但正向和反向方法是相輔相成的。 直接方法基於一組故障或功能障礙,因此這種分析的價值在很大程度上取決於開始時考慮的各種功能障礙的相關性。 這樣看來,逆向法似乎更系統一些。 鑑於可能發生什麼類型的事故或事故,分析人員理論上可以應用這種方法來回溯所有能夠導致它們發生的功能障礙或功能障礙的組合。 然而,由於一個系統的所有危險行為都不一定事先知道,它們可以通過直接方法發現,例如應用模擬。 一旦發現這些,就可以通過逆向方法更詳細地分析危害。
系統安全分析問題
上述分析方法不僅僅是機械過程,只需自動應用即可得出有用的結論以提高系統安全性。 相反,分析師在他們的工作過程中會遇到很多問題,他們分析的有用性在很大程度上取決於他們如何著手解決這些問題。 下面描述了可能出現的一些典型問題。
了解要研究的系統及其運行條件
任何系統安全分析中的基本問題都是要研究的系統的定義、它的局限性以及它在整個存在期間應該運行的條件。
如果分析人員考慮的子系統過於有限,結果可能是採取一系列隨機預防措施(在這種情況下,一切都是為了防止某些特定類型的事件發生,而忽略或低估同樣嚴重的危害). 另一方面,如果所考慮的系統對於給定的問題過於全面或籠統,則可能導致概念和責任過於模糊,並且分析可能無法導致採取適當的預防措施。
一個典型的例子說明了定義要研究的系統的問題是工業機器或工廠的安全。 在這種情況下,分析人員可能只想考慮實際設備,而忽略了它必須由一個或多個人操作或控制的事實。 這種簡化有時是有效的。 然而,必須分析的不僅僅是機器子系統,而是整個工人加機器系統在設備生命週期的各個階段(包括,例如,運輸和搬運、組裝、測試和調整、正常運行) 、維護、拆卸以及在某些情況下銷毀)。 在每個階段,機器都是特定係統的一部分,該系統的目的和運行及故障模式與其他階段的系統完全不同。 因此,它的設計和製造方式必須能夠在每個階段都在良好的安全條件下執行所需的功能。
更一般地說,關於公司的安全研究,有幾個系統級別:機器、工作站、輪班、部門、工廠和整個公司。 根據所考慮的系統級別,可能的功能障礙類型以及相關的預防措施大不相同。 一項好的預防政策必須考慮到可能在各個層面發生的功能障礙。
系統的運行條件可以根據系統假定運行的方式以及它可能受到的環境條件來定義。 該定義必須足夠現實,以考慮系統可能運行的實際條件。 如果用戶無法保持在規定的理論操作範圍內,則僅在非常有限的操作範圍內非常安全的系統可能就不那麼安全了。 因此,安全系統必須足夠穩健,能夠承受其運行條件的合理變化,並且必須容忍操作員方面的某些簡單但可預見的錯誤。
系統建模
通常需要開發模型以分析系統的安全性。 這可能會引發某些值得研究的問題。
對於像常規機器這樣簡潔且相對簡單的系統,模型幾乎可以直接從材料組件及其功能(電機、傳動等)的描述以及這些組件相互關聯的方式中推導出來。 可能的組件故障模式的數量同樣受到限制。
計算機和機器人等現代機器包含微處理器和大規模集成的電子電路等複雜組件,這帶來了一個特殊問題。 這個問題在建模或預測不同的可能故障模式方面尚未完全解決,因為每個芯片中有如此多的基本晶體管並且使用了多種軟件。
當被分析的系統是一個人類組織時,建模中遇到的一個有趣的問題在於某些非物質或不完全物質的組件的選擇和定義。 例如,一個特定的工作站可以由一個包括工人、軟件、任務、機器、材料和環境的系統來表示。 (“任務”部分可能難以定義,因為重要的不是規定的任務,而是實際執行的任務)。
在為人類組織建模時,分析師可能會選擇將所考慮的系統分解為一個信息子系統和一個或多個行動子系統。 分析信息子系統不同階段(信息獲取、傳輸、處理和使用)的故障具有很高的指導意義。
與多層次分析相關的問題
與多層次分析相關的問題通常會出現,因為分析人員可能會從不希望發生的事件開始,回溯到時間上越來越遙遠的事件。 根據所考慮的分析水平,發生的功能障礙的性質會有所不同; 這同樣適用於預防措施。 重要的是能夠決定在什麼水平上應該停止分析,在什麼水平上應該採取預防措施。 一個簡單的例子就是在非正常情況下重複使用機器而導致機械故障導致事故的簡單案例。 這可能是由於缺乏操作員培訓或工作組織不當造成的。 根據所考慮的分析級別,所需的預防措施可能是用另一台能夠承受更惡劣使用條件的機器更換機器,僅在正常條件下使用機器,改變人員培訓,或重組工作。
預防措施的有效性和範圍取決於其實施的水平。 在意外事件附近採取預防措施更有可能產生直接和迅速的影響,但其效果可能有限; 另一方面,通過在事件分析中進行合理程度的回溯,應該有可能找到許多事故中常見的功能障礙類型。 在此級別採取的任何預防措施的範圍都會更廣,但其有效性可能不那麼直接。
請記住,存在多個層次的分析,也可能存在多種預防行動模式,每一種模式都在預防工作中發揮著自己的作用。 這是非常重要的一點,人們只需回到目前正在考慮的事故例子中就可以理解這一事實。 提議用另一台能夠承受更嚴酷使用條件的機器替換該機器會使機器承擔預防責任。 決定機器只應在正常條件下使用意味著將責任推給用戶。 同樣,責任可能放在人員培訓、工作組織上,或者同時放在機器、用戶、培訓功能和組織功能上。
對於任何給定的分析水平,事故通常似乎是多種功能障礙或失調共同作用的結果。 根據是針對一種或另一種功能障礙採取行動,還是同時針對多種功能障礙採取行動,所採取的預防措施的模式會有所不同。
工具是我們生活中如此常見的一部分,以至於有時很難記住它們可能會帶來危險。 所有工具在製造時都牢記安全性,但偶爾可能會在認識到與工具相關的危險之前發生事故。 工人必須學會識別與不同類型工具相關的危險以及防止這些危險所需的安全預防措施。 應佩戴適當的個人防護裝備,例如安全護目鏡或手套,以防止在使用便攜式電動工具和手動工具時可能遇到的潛在危險。
手工具
手動工具是非動力的,包括從斧頭到扳手的所有東西。 手動工具造成的最大危害是誤用、使用錯誤的工具以及維護不當造成的。 與使用手動工具相關的一些危險包括但不限於以下內容:
雇主對提供給員工的工具和設備的安全狀況負責,但員工有責任正確使用和維護這些工具。 工人應將鋸條、刀具或其他工具遠離過道區域和在附近工作的其他員工。 刀子和剪刀必須保持鋒利,因為鈍的工具比鋒利的工具更危險。 (見圖 1。)
圖 1. 螺絲刀
安全要求地板盡可能保持清潔和乾燥,以防止在使用危險的手動工具或在危險的手動工具周圍工作時意外滑倒。 雖然鋼鐵手動工具產生的火花通常不會熱到足以成為點火源,但在使用易燃材料或在易燃材料周圍工作時,可以使用由黃銅、塑料、鋁或木材製成的防火花工具來防止火花形成。
電動工具
電動工具使用不當會造成危險。 電動工具有幾種類型,通常根據動力源分類(電動、氣動、液體燃料、液壓、蒸汽和炸藥驅動)。 員工應具備使用其工作中使用的所有電動工具的資格或經過培訓。 他們應了解與使用電動工具相關的潛在危險,並遵守以下一般安全預防措施以防止發生這些危險:
防護罩
需要保護電動工具的危險運動部件。 例如,皮帶、齒輪、軸、皮帶輪、鏈輪、心軸、鼓、飛輪、鏈條或設備的其他往復運動、旋轉或運動部件如果工人接觸這些部件,則必須對其進行防護。 必要時,應提供防護裝置以保護操作員和其他人免受與以下相關的危險:
使用工具時,切勿拆除安全防護裝置。 例如,便攜式圓鋸必須配備防護裝置。 上護罩必須覆蓋整個鋸片。 可伸縮的下防護罩必須蓋住鋸齒,除非它與工作材料接觸。 當工具從工作中撤出時,下護罩必須自動返回到覆蓋位置。 請注意電鋸插圖中的鋸片護罩(圖 2)。
圖 2. 帶護罩的圓鋸
安全開關和控制器
以下是必須配備瞬時接觸式“通斷”控制開關的手持式電動工具的示例:
這些工具還可以配備鎖定控制,前提是關閉可以通過打開它的同一根手指或手指的單個動作來完成。
以下手持式電動工具可能僅配備一個正向“開-關”控制開關:
其他必須配備恆壓開關以在壓力釋放時切斷電源的手持式電動工具包括:
電動工具
使用電動工具的工人必須意識到幾種危險。 其中最嚴重的是觸電的可能性,其次是燒傷和輕微電擊。 在某些情況下,即使是少量電流也可能導致心臟顫動,從而導致死亡。 電擊還可能導致工人從梯子或其他高架工作台上掉下來。
為減少工人因電擊而受傷的可能性,必須至少通過以下一種方式保護工具:
使用電動工具時應遵循以下一般安全慣例:
動力砂輪
動力研磨輪、切割輪、拋光輪和線磨輪會產生特殊的安全問題,因為輪子可能會分解並拋出飛濺的碎片。
在安裝砂輪之前,應對它們進行仔細檢查,並用輕型非金屬儀器輕輕敲擊進行聲音(或環)測試,以確保它們沒有裂紋或缺陷。 如果輪子有裂紋或聲音死了,它們可能會在運行中飛散,不得使用。 完好無損的車輪會發出清晰的金屬音或“鈴聲”。
為防止砂輪破裂,用戶應確保砂輪自由安裝在主軸上。 主軸螺母必須擰緊到足以將車輪固定到位而不會扭曲法蘭。 遵循製造商的建議。 必須小心確保主軸輪不會超過砂輪規格。 由於車輪在啟動過程中可能會解體(爆炸),因此在車輪加速至全速運行時,工人切勿直接站在車輪前方。 便攜式研磨工具需要配備安全防護裝置,以保護工人不僅免受移動的輪子表面的傷害,而且在發生破損時也能防止飛散的碎片。 此外,在使用電動研磨機時,應遵守以下注意事項:
氣動工具
氣動工具由壓縮空氣提供動力,包括削片機、鑽頭、錘子和打磨機。 儘管在使用氣動工具時會遇到一些潛在的危險,但主要的危險是被工具的附件之一或工人與工具一起使用的某種緊固件擊中的危險。 使用氣動工具時,需要保護眼睛並建議保護面部。 噪音是另一種危害。 使用電鑽等嘈雜工具工作需要正確、有效地使用適當的聽力保護裝置。
使用氣動工具時,工人必須檢查以確保它牢固地固定在軟管上以防止斷開連接。 將空氣軟管連接到工具的短線或強制鎖定裝置將作為額外的保障。 如果空氣軟管的直徑超過 ½ 英寸(1.27 厘米),則應在氣源處安裝一個安全過流閥,以在軟管破裂時自動關閉空氣。 通常,對於推薦用於電線的空氣軟管,應採取相同的預防措施,因為軟管會受到相同類型的損壞或意外撞擊,並且還存在絆倒的危險。
絕不能將壓縮空氣槍對準任何人。 工人不應該讓噴嘴對自己或任何其他人造成“死胡同”。 應安裝安全夾或固定器,以防止附件(例如鑿子上的鑿子)無意中從槍管中射出。 應設置防護屏以保護附近的工人免受削片機、鉚槍、空氣錘、訂書機或氣鑽周圍的飛濺碎片的撞擊。
在高壓(每平方英寸 1,000 磅或更多)下霧化油漆和液體的無氣噴槍必須配備自動或手動視覺安全裝置,以防止激活,直到手動釋放安全裝置。 重型手提鑿岩機可能會導致疲勞和拉傷,使用可提供穩固手柄的重型橡膠握把可以減輕疲勞和拉傷。 操作手提鑽的工人必須佩戴安全眼鏡和安全鞋,以防止在錘子打滑或掉落時受傷。 還應使用面罩。
燃料動力工具
燃油動力工具通常使用小型汽油動力內燃機運行。 與使用燃料動力工具相關的最嚴重的潛在危險來自危險的燃料蒸氣,它們會燃燒或爆炸並散發出危險的廢氣。 工人必須按照適用於易燃液體的適當程序,小心處理、運輸和儲存汽油或燃料,只能將其放在經批准的易燃液體容器中。 在為燃油動力工具的油箱重新加註之前,用戶必須關閉發動機並使其冷卻,以防止意外點燃有害蒸氣。 如果在封閉區域內使用燃料動力工具,則需要有效通風和/或防護設備以防止接觸一氧化碳。 該區域必須備有滅火器。
炸藥驅動工具
炸藥驅動的工具就像一把裝滿子彈的槍,應該受到同樣的尊重和預防。 事實上,它們非常危險,只能由經過專門培訓或合格的員工操作。 使用火藥驅動工具時,適當的耳朵、眼睛和麵部保護裝置必不可少。 所有火藥驅動工具都應針對不同的火藥裝藥量進行設計,以便用戶無需過度用力即可選擇完成工作所需的火藥量。
工具的槍口端應有一個防護罩或護罩,垂直居中於槍管,以保護用戶免受任何飛散的碎片或顆粒的傷害,這些碎片或顆粒在工具發射時可能會造成危險。 工具的設計必須使其在沒有這種安全裝置的情況下不會開火。 為防止工具意外開火,開火需要兩個獨立的動作:一個是將工具放到位,另一個是扣動扳機。 在用至少比工具總重量大 5 磅的力將工具壓在工作表面上之前,工具不得運行。
如果火藥驅動的工具失火,用戶應至少等待 30 秒,然後再嘗試發射它。 如果仍然不點火,用戶應至少再等待 30 秒,以降低故障墨盒爆炸的可能性,然後小心地卸下負載。 應將損壞的墨盒放入水中或按照雇主的程序以其他方式安全處置。
如果火藥驅動工具在使用過程中出現缺陷,則應立即對其進行標記並停止使用,直到得到妥善維修。 安全使用和處理火藥驅動工具的預防措施包括以下內容:
在使用火藥驅動工具應用緊固件時,應考慮以下安全預防措施:
液壓動力工具
液壓動力工具中使用的流體必須經過預期用途批准,並且必須在將要暴露的最極端溫度下保持其工作特性。 不得超過製造商建議的軟管、閥門、管道、過濾器和其他配件的安全操作壓力。 如果在可能存在火源(例如明火或熱表面)的區域中存在高壓洩漏的可能性,則應考慮使用耐火流體作為液壓介質。
千斤頂
所有的千斤頂——槓桿和棘輪千斤頂、螺旋千斤頂和液壓千斤頂——都必須有一個裝置來防止它們頂升得太高。 製造商的負載限制必須永久標記在千斤頂的顯著位置,並且不得超過。 如有必要,請在底座下方使用木塊,以使千斤頂水平並固定。 如果升降機表面是金屬的,請在表面下側和金屬千斤頂頭之間放置一塊 1 英寸(2.54 厘米)厚的硬木塊或類似物,以減少打滑的危險。 切勿使用千斤頂來支撐提升的負載。 一旦負載被提升,它應該立即被塊支撐。
要設置千斤頂,請確保滿足以下條件:
正確維護千斤頂對於安全至關重要。 每次使用前必須檢查所有千斤頂並定期潤滑。 如果千斤頂受到異常負載或衝擊,應徹底檢查以確保它沒有損壞。 暴露在冰凍溫度下的液壓千斤頂必須充滿足夠的防凍液。
總結
必須為使用手動和電動工具以及暴露於墜落、飛濺、磨蝕和飛濺物體和材料的危險,或暴露於有害粉塵、煙霧、薄霧、蒸汽或氣體危險的工人提供必要的適當個人設備以保護他們免受危害。 工人遵循五項基本安全規則可以預防電動工具使用中涉及的所有危險:
僱員和雇主有責任共同努力,以維持既定的安全工作實踐。 如果遇到不安全的工具或危險情況,應立即引起相關人員的注意。
本文討論了因接觸機器運動部件而導致事故的情況和事件鏈。 操作和維護機器的人冒著捲入嚴重事故的風險。 美國統計數據表明,美國每年有 18,000 例截肢和 800 多例死亡可歸因於此類原因。 根據美國國家職業安全與健康研究所 (NIOSH) 的數據,在 1979 年最重要的職業傷害類別中,“夾在裡面、下面或中間”類別的傷害排名最高。此類傷害通常涉及機器 (埃瑟頓和邁爾斯 1990 年)。 自 10 年該類別被引入瑞典職業傷害統計以來,“接觸移動的機器部件”已被報告為略高於 1979% 的職業事故的主要傷害事件。
大多數機器都有可能造成傷害的運動部件。 在對材料進行工作的操作點可能會發現此類移動部件,例如進行切割、成型、鑽孔或變形的位置。 它們可能存在於將能量傳輸到執行工作的機器部件的設備中,例如飛輪、皮帶輪、連桿、聯軸器、凸輪、主軸、鏈條、曲柄和齒輪。 它們可能存在於機器的其他運動部件中,例如移動設備上的輪子、齒輪馬達、泵、壓縮機等。 危險的機器運動也存在於其他類型的機械中,特別是在處理和運輸工件、材料、廢物或工具等負載的設備的輔助部件中。
機器在工作過程中移動的所有部件都可能導致事故,造成傷害和損壞。 旋轉和線性機器運動及其動力來源都可能是危險的:
旋轉運動。 即使是光滑的旋轉軸也會夾住一件衣服,例如,將人的手臂拉到危險的位置。 如果旋轉軸有突出部分或不平整或鋒利的表面,例如調節螺釘、螺栓、狹縫、槽口或切削刃,則危險會增加。 旋轉的機器零件以三種不同的方式產生“咬合點”:
直線運動. 垂直、水平和往復運動可能會以多種方式造成傷害:人可能會受到機器部件的推擠或打擊,並可能被機器部件和其他物體夾住,或者可能被鋒利的邊緣割傷,或受到傷害由於被夾在移動部件和另一個物體之間而造成的咬傷(圖 1)。
圖 1. 可能傷人的機械運動示例
電源。 通常,使用外部電源來運行可能涉及大量能量的機器。 其中包括電力、蒸汽、液壓、氣動和機械動力系統,所有這些系統如果被釋放或不受控制,都可能導致嚴重傷害或損壞。 對印度北部 1987 個村莊的農民一年多來(1988 年至 5.1 年)發生的事故的研究表明,飼料切割機在其他方面都具有相同的設計,但在由電動機或拖拉機驅動時更危險。 涉及超過輕傷(每台機器)的事故的相對頻率對於手動切割機為 8.6‰,對於電動切割機為 1992‰(Mohan 和 Patel XNUMX)。
與機器運動相關的傷害
由於與機器運動相關的力通常非常大,因此可以推測它們造成的傷害會很嚴重。 這一假設得到了多個消息來源的證實。 根據英國統計數據(HSE 5),“接觸移動的機器或正在加工的材料”僅佔所有職業事故的 10%,但在致命和重大事故(骨折、截肢等)中卻佔 1989%。 對瑞典兩個汽車製造廠的研究指向同一個方向。 與非機器相關事故相比,以中值衡量,由機器運動引起的事故導致病假天數增加一倍。 機器相關事故在身體部位受傷方面也不同於其他事故:結果表明,“機器”事故中 80% 的傷害是手和手指,而“其他”事故中相應的比例是40%(Backström 和 Döös 1995)。
事實證明,自動化裝置的風險情況既不同(在事故類型、事件順序和傷害嚴重程度方面)也比在自動化裝置中更複雜(在技術術語和專業技能需求方面)使用傳統機械的裝置。 期限 自動化 “機械”在本文中指的是無需人的直接干預即可啟動機器運動或改變其方向或功能的設備。 此類設備需要傳感器設備(例如,位置傳感器或微動開關)和/或某種形式的順序控制(例如,計算機程序)來指導和監控它們的活動。 近幾十年來,一個 可編程邏輯控制器 (PLC) 越來越多地被用作生產系統中的控制單元。 小型計算機現在是工業化世界中用於控制生產設備的最常用手段,而其他控製手段,如機電單元,則越來越不常見。 在瑞典製造業中,數控 (NC) 機器的使用在 11 年代以每年 12% 到 1980% 的速度增長(Hörte 和 Lindberg 1989)。 在現代工業生產中,被“機器運動部件”傷害越來越等同於被“計算機控制的機器運動”傷害。
自動化裝置出現在越來越多的工業領域,它們的功能也越來越多。 商店管理、材料處理、加工、組裝和包裝都實現了自動化。 系列生產已經變得類似於過程生產。 如果工件的進料、加工和頂出實現機械化,操作人員在正常、不受干擾的生產過程中不再需要處於危險區域。 自動化製造的研究表明,事故主要發生在處理影響生產的干擾時。 然而,在執行其他任務(例如清潔、調整、重置、控制和維修)時,人也會妨礙機器運動。
當生產實現自動化並且流程不再受人的直接控制時,意外機器運動的風險就會增加。 大多數使用互連機器組或生產線的操作員都經歷過這種意外的機器運動。 許多 自動化事故 正是由於這種運動而發生的。 自動化事故是指自動化設備控制(或應當控制)引起傷害的能量的事故。 這意味著傷害人的力量來自機器本身(例如,機器運動的能量)。 在對瑞典 177 起自動化事故的研究中,發現在 84% 的案例中,傷害是由機器部件的“意外啟動”造成的(Backström 和 Harms-Ringdahl 1984)。 由計算機控制的機器運動造成傷害的典型示例如圖 2 所示。
圖 2. 由計算機控制的機器運動造成傷害的典型示例
上面提到的一項研究(Backström 和 Döös 1995)表明,與其他類型的機器運動造成的傷害相比,自動控制的機器運動與更長的病假時間有因果關係,其中一個工作場所的中值高四倍. 自動化事故的傷害模式與其他機器事故(主要涉及手和手指)相似,但前一種傷害有更嚴重的趨勢(截肢、壓傷和骨折)。
計算機控制與手動控制一樣,從可靠性的角度來看也存在弱點。 無法保證計算機程序將無錯誤地運行。 如果沒有適當保護,信號電平較低的電子設備可能對乾擾敏感,並且無法始終預測由此產生的故障的後果。 此外,編程更改通常沒有記錄在案。 例如,用於彌補此弱點的一種方法是通過運行“雙”系統,其中有兩個獨立的功能組件鍊和一種監視方法,以便兩個鏈顯示相同的值。 如果系統顯示不同的值,則表示其中一個出現故障。 但是有可能兩個組件鏈都可能出現相同的故障,並且它們都可能因相同的干擾而出現故障,從而給出誤報讀數(正如兩個系統都同意的那樣)。 然而,在調查的少數案例中,有可能將事故追溯到計算機故障(見下文),儘管事實上通常由一台計算機控制一個裝置的所有功能(甚至停止作為安全裝置激活的結果的機器)。 作為替代方案,可以考慮提供一個經過試驗和測試的系統,該系統具有用於安全功能的機電組件。
技術問題
總的來說,可以說一次事故的原因是多方面的,包括技術原因、個人原因、環境原因和組織原因。 出於預防目的,最好不要將事故視為孤立事件,而應視為 序列 事件或過程 (Backström 1996)。 在自動化事故的情況下,已經表明技術問題經常是此類序列的一部分,並且發生在過程的早期階段之一或接近事故的傷害事件。 對自動化事故中涉及的技術問題進行檢查的研究表明,75% 到 85% 的事故都是由這些問題引起的。 同時,在任何具體情況下,通常還有其他原因,例如組織性質的原因。 只有十分之一的案例被發現導致傷害的直接能量來源可歸因於技術故障——例如,儘管機器處於停止位置但機器仍在運動。 其他研究也報導了類似的數字。 通常,技術問題會導致設備出現故障,因此操作員不得不轉換任務(例如,重新定位處於彎曲位置的零件)。 事故隨後發生在執行任務期間,由技術故障引起。 四分之一的自動化事故發生在物料流出現紊亂之前,例如零件卡住或進入彎曲或其他故障位置(見圖 3)。
圖3. 自動化事故涉及的技術問題類型(事故數=127)
在對 127 起涉及自動化的事故的研究中,對其中 28 起事故(如圖 4 中的描述)進行了進一步調查,以確定作為起因的技術問題的類型(Backström 和 Döös,出版中)。 事故調查中指出的問題最常由卡住、有缺陷或磨損的部件引起。 在兩種情況下,問題是由計算機程序錯誤引起的,另一種是由電磁干擾引起的。 在超過一半的案例中(17 個中的 28 個),故障已經存在一段時間但沒有得到糾正。 在提及技術故障或偏差的 5 個案例中,只有 28 個存在缺陷 任何監管機構都不批准 之前就表現出來了。 一些故障已經被修復只是後來重新出現。 某些缺陷從安裝之時就已經存在,而其他缺陷則是由於磨損和環境影響造成的。
根據大多數研究,在糾正生產乾擾過程中發生的自動化事故比例佔所有案例的三分之一到三分之二。 換句話說,人們普遍認為處理生產乾擾是一項危險的職業任務。 此類事故發生程度的差異有多種解釋,其中包括與生產類型和職業任務分類方式有關的解釋。 在一些干擾研究中,只考慮了正常生產過程中的問題和機器停機; 在其他情況下,處理的問題範圍更廣——例如,那些與工作安排有關的問題。
預防自動化事故的一項非常重要的措施是準備消除生產乾擾原因的程序,以免它們再次發生。 在事故發生時對生產乾擾的專門研究中(Döös 和 Backström 1994),發現干擾引起的最常見任務是釋放或糾正被卡住或錯誤的工件的位置放置。 此類問題引發了兩個相當相似的事件序列之一:(1) 零件被釋放並進入正確位置,機器收到自動啟動信號,人因機器運動開始受傷,(2 ) 在人員因意外、更快或比操作員預期更大的力的機器運動受傷之前,沒有時間釋放或重新定位零件。 其他干擾處理包括觸發傳感器脈衝、釋放卡住的機器部件、執行簡單類型的故障跟踪以及安排重啟(見圖 4)。
圖 4. 事故發生時的干擾處理類型(事故數 =76)
工人安全
容易在自動化事故中受傷的人員類別取決於工作的組織方式,即執行危險任務的職業群體。 在實踐中,這是工作場所的哪個人被指派來例行處理問題和乾擾的問題。 在現代瑞典工業中,通常需要操作機器的人員進行積極干預。 這就是為什麼在前面提到的瑞典汽車製造工作場所研究(Backström 和 Döös,接受發表)中,發現 82% 因自動化機器受傷的人是生產工人或操作員。 操作員的相對事故頻率(每年每 15 名操作員發生 1,000 起自動化事故)也高於維修工人(每 6 名發生 1,000 起)。 研究結果表明維修工人受到的影響更大,這至少可以部分解釋為某些公司不允許操作員進入機加工區域。 在具有不同類型任務分配的組織中,其他類別的人員(例如設置人員)可能會被賦予解決出現的任何生產問題的任務。
為了提高人身安全水平,在這方面採取的最常見的糾正措施是通過使用某種安全裝置(例如機器防護裝置)來保護人員免受危險機器運動的傷害。 這裡的主要原則是“被動”安全——即提供不需要工人採取行動的保護。 然而,如果不非常了解相關機器的實際工作要求,就不可能判斷保護裝置的有效性,這種知識通常只有機器操作員自己才具備。
有許多因素甚至可能使看似良好的機器保護失效。 為了執行他們的工作,操作員可能需要脫離或繞過安全裝置。 在一項研究中(Döös 和 Backström 1993),發現在所涵蓋的 12 起自動化事故中,有 75 起發生了這種脫離或規避。 這通常是操作員雄心勃勃的問題,並且不再願意接受生產問題或根據指令糾正干擾所涉及的生產過程的延遲。 避免此問題的一種方法是使保護裝置不易察覺,使其不影響生產節奏、產品質量或任務績效。 但這並不總是可能的。 在生產反复受到干擾的地方,即使是輕微的不便也會促使人們不使用安全裝置。 同樣,應該制定例行程序來消除生產乾擾的原因,以免重複發生。 缺乏確認安全裝置是否真正按照規范運行的方法是另一個重要的風險因素。 錯誤的連接、留在系統中的啟動信號隨後會導致意外啟動、氣壓升高以及鬆動的傳感器都可能導致保護設備失效。
總結
正如已經表明的那樣,問題的技術解決方案可能會引起新的問題。 儘管傷害是由機器運動造成的,本質上是技術性的,但這並不意味著它們的根除潛力就在於純粹的技術因素。 技術系統將繼續出現故障,人們將無法處理這些故障引起的情況。 風險將繼續存在,只能通過多種手段加以控制。 立法和控制、個別公司的組織措施(以培訓、安全巡視、風險分析和乾擾和險情報告的形式)以及對穩定、持續改進的強調都需要作為純技術開發的補充。
移動機器部件所造成的潛在危險似乎與不同類型的機器一樣多。 安全措施對於保護工人免受不必要和可預防的機械相關傷害至關重要。 因此,應保護可能造成傷害的任何機器部件、功能或過程。 如果機器的操作或意外接觸機器可能會傷害操作員或附近的其他人,則必須控製或消除危險。
機械運動和動作
機械危險通常涉及以下三個基本領域的危險運動部件:
可能對工人造成危害的各種機械運動和動作包括旋轉部件、往復運動臂、移動皮帶、嚙合齒輪、切割齒和任何衝擊或剪切部件的運動。 這些不同類型的機械運動和動作是幾乎所有機器的基礎,認識它們是保護工人免受它們可能帶來的危害的第一步。
議案
存在三種基本運動類型:旋轉、往復運動和橫向運動。
旋轉運動 可能很危險; 即使是平滑、緩慢旋轉的軸也會夾住衣服並迫使手臂或手處於危險位置。 因接觸旋轉部件而造成的傷害可能很嚴重(見圖 1)。
圖 1. 機械沖床
軸環、聯軸器、凸輪、離合器、飛輪、軸端、主軸和水平或垂直軸係是可能存在危險的常見旋轉機構的一些示例。 當螺栓、刻痕、磨損和突出的鍵或固定螺釘暴露在機械的旋轉部件上時,會增加危險,如圖 2 所示。
圖 2. 旋轉部件上的危險投影示例
運行夾點s 是由機器上的旋轉部件產生的。 運行夾點主要有以下三種類型:
往復運動 可能是危險的,因為在來回或上下運動期間,工人可能會被移動部件和靜止部件撞擊或夾在中間。 圖 6 顯示了一個示例。
圖 6. 危險的往復運動
橫向運動 (沿直線、連續的直線運動)會造成危險,因為工人可能會被運動部件撞擊或夾在夾點或剪切點。 圖 7 顯示了橫向運動的示例。
圖 7. 橫向運動示例
動態
有四種基本的動作類型:切割、沖孔、剪切和彎曲。
切割動作 包括旋轉、往復或橫向運動。 切割動作會在操作點產生危險,手指、頭部和手臂可能會受傷,飛屑或廢料可能會撞擊眼睛或面部。 具有切割危險的機器的典型示例包括帶鋸、圓鋸、鏜床或鑽床、車床(車床)和銑床。 (見圖 8。)
圖 8. 切割危險示例
沖壓動作 為沖裁、拉拔或沖壓金屬或其他材料而對滑塊(沖頭)施加電源時產生的結果。 此類操作的危險發生在用手插入、保持和取出庫存的操作點。 使用沖壓動作的典型機器是動力壓力機和鐵工。 (見圖 9。)
圖 9. 典型的打孔操作
剪切動作 涉及向滑塊或刀具施加動力以修剪或剪切金屬或其他材料。 危險發生在實際插入、保存和取出庫存的操作點。 用於剪切操作的機械的典型示例是機械、液壓或氣動剪切機。 (見圖 10。)
圖 10. 剪切操作
彎曲動作 將電源施加到滑塊以對金屬或其他材料進行成型、繪製或沖壓時產生的結果。 危險發生在插入、保存和取出庫存的操作點。 使用彎曲動作的設備包括動力壓力機、折彎機和彎管機。 (見圖 11。)
圖 11. 彎曲操作
保障要求
安全措施必須滿足以下最低一般要求,以保護工人免受機械危害:
防止接觸。 防護裝置必須通過消除操作員或其他工人將其身體部位靠近危險運動部件的可能性來防止手、手臂或工人身體或衣服的任何部位接觸危險運動部件。
提供安全保障。 工人不應輕易移除或篡改防護裝置。 防護裝置和安全裝置應由耐用材料製成,能夠承受正常使用條件並牢固固定在機器上。
防止掉落的物體。 安全裝置應確保沒有物體會落入運動部件並損壞設備或成為可能撞擊和傷害人員的拋射物。
不產生新的危害. 如果安全措施本身會造成危險,例如剪切點、鋸齒狀邊緣或未完成的表面,那麼它就失去了它的目的。 例如,防護裝置的邊緣應該捲起或用螺栓固定,以消除鋒利的邊緣。
不產生干擾. 阻礙工人完成工作的保障措施可能很快就會被推翻或忽視。 如果可能,工人應該能夠在不脫離或移除防護裝置的情況下潤滑機器。 例如,將儲油器置於防護罩外,並用一條線連接到潤滑點,將減少進入危險區域的需要。
保障培訓
除非工人知道如何使用它以及為什麼使用它,否則即使是最完善的保護系統也無法提供有效的保護。 專門和詳細的培訓是任何實施機器相關危險防護措施的重要組成部分。 適當的保護可以提高生產率和效率,因為它可以減輕工人對傷害的擔憂。 當任何新的或改變的防護裝置投入使用時,或者當工人被分配到新機器或操作時,新操作員和維護或設置人員都需要進行防護培訓; 它應包括以下方面的指導或實踐培訓:
機器保護方法
有許多方法可以保護機器。 操作類型、庫存的大小或形狀、處理方法、工作區域的物理佈局、材料類型和生產要求或限制將有助於確定適合單個機器的保護方法。 機器設計師或安全專家必須選擇最有效和最實用的安全措施。
防護措施可分為五個一般類別:(1) 防護裝置,(2) 裝置,(3) 分離,(4) 操作和 (5) 其他。
與警衛一起保護
有四種一般類型的警衛(防止進入危險區域的屏障),如下所示:
固定守衛。 固定防護裝置是機器的永久部件,不依賴於移動部件來執行其預期功能。 它可以由金屬板、篩網、金屬絲布、棒材、塑料或任何其他足夠堅固以承受其可能受到的任何衝擊並經得起長時間使用的材料構成。 固定防護裝置通常優於所有其他類型,因為它們相對簡單且持久(見表 1)。
表 1. 機器防護罩
選項 |
保障行動 |
優點 |
限制 |
固定 |
· 提供障礙 |
· 適合多種特定應用 |
· 可能影響能見度 |
聯鎖 |
· 關閉或斷開電源並防止在防護罩打開時啟動機器; 應要求機器在工人能夠進入危險區域之前停止 |
· 提供最大程度的保護 |
· 需要仔細調整和維護 |
可調整 |
· 提供一個可以調整以促進各種生產操作的屏障 |
· 可以構造成適合許多特定應用 |
· 操作員可能進入危險區域:保護可能並非始終完備 |
自我調整 |
· 提供根據進入危險區域的股票大小移動的屏障 |
· 市售現成的防護裝置 |
· 並不總是提供最大程度的保護 |
在圖 12 中,壓力機上的固定防護裝置完全封閉了操作點。 原料通過防護裝置的一側進入模具區域,廢料從另一側排出。
圖 12. 壓力機上的固定防護裝置
圖 13 描繪了一個固定的外殼防護裝置,它保護動力傳輸單元的皮帶和皮帶輪。 頂部提供了一個檢查面板,以最大限度地減少移除防護裝置的需要。
圖 13. 封閉皮帶和皮帶輪的固定防護裝置
在圖 14 中,固定外殼防護裝置顯示在帶鋸上。 這些防護裝置保護操作員免受轉動的輪子和移動的鋸片的傷害。 通常,防護裝置打開或移除的唯一時間是更換刀片或進行維護。 在使用鋸時將它們牢固地固定非常重要。
圖 14. 帶鋸固定防護裝置
互鎖守衛。 當聯鎖防護裝置打開或移除時,跳閘機構和/或電源會自動關閉或斷開,機器無法循環或啟動,直到聯鎖防護裝置回到原位。 但更換聯鎖防護罩不應自動重啟機器。 聯鎖防護裝置可以使用電力、機械、液壓或氣動動力,或這些動力的任意組合。 如果需要,互鎖不應阻止遠程控制的“點動”(即漸進運動)。
圖 15 顯示了聯鎖防護裝置的示例。在該圖中,採摘機(用於紡織行業)的打手機構被聯鎖屏障防護裝置覆蓋。 該防護裝置在機器運行時不能升起,機器也不能在防護裝置處於升起位置時重新啟動。
圖 15. 拾取機上的聯鎖防護裝置
可調節的防護罩。 可調式防護裝置可以靈活地適應各種尺寸的庫存。 圖 16 顯示了帶鋸上的可調節外殼防護裝置。
圖 16. 帶鋸上的可調護罩
自我調整的警衛。 自調整防護裝置的開口由庫存的運動決定。 當操作員將庫存移入危險區域時,防護裝置被推開,提供一個足夠大的開口以僅允許庫存進入。 移除庫存後,防護裝置返回到靜止位置。 該防護裝置通過在危險區域和操作員之間設置屏障來保護操作員。 防護裝置可由塑料、金屬或其他堅固材料製成。 自調節防護裝置提供不同程度的保護。
圖 17 顯示了帶有自調節護罩的搖臂鋸。 當刀片被拉過槍托時,防護裝置向上移動,與槍托保持接觸。
圖 17. 搖臂鋸上的自調節防護裝置
用設備保護
如果手或身體的任何部分無意中放在危險區域,安全裝置可能會停止機器,可能會在操作過程中限製或撤回操作員的手從危險區域,可能要求操作員同時用雙手控制機器(從而使雙手和身體遠離危險)或者可以提供與機器的操作週期同步的屏障,以防止在周期的危險部分進入危險區域。 安全裝置有以下五種基本類型:
存在感測設備
下面描述了三種類型的傳感裝置,它們可以在工人處於危險區域內時停止機器或中斷工作循環或操作:
光電(光學)存在感測裝置 使用可以中斷機器運行週期的光源和控制系統。 如果光場被破壞,機器將停止並且不會循環。 該設備只能用於在工人到達危險區域之前可以停止的機器上。 圖 18 顯示了與折彎機一起使用的光電存在感測設備。 該設備可以上下擺動以適應不同的生產要求。
圖 18. 折彎機上的光電存在傳感裝置
射頻(電容)存在感測設備 使用作為控制電路一部分的無線電波束。 當電容場被破壞時,機器將停止或不會啟動。 該設備只能用於在工人到達危險區域之前可以停止的機器上。 這就要求機器有摩擦離合器或其他可靠的停止裝置。 圖 19 顯示了安裝在部分旋轉動力壓力機上的射頻存在感測設備。
圖 19. 電鋸上的射頻存在感測設備
機電傳感裝置 有一個探頭或接觸桿,當操作員啟動機器循環時,它會下降到預定的距離。 如果有障礙物阻止它下降完整的預定距離,則控制電路不會啟動機器循環。 圖 20 顯示了孔眼上的機電傳感裝置。 還顯示了與操作員手指接觸的傳感探頭。
圖 20. 眼字機上的機電感應裝置
回拉裝置
回拉裝置利用連接到操作員的手、手腕和/或手臂的一系列電纜,主要用於具有衝程動作的機器。 當滑塊/推桿升起時,允許操作員進入操作點。 當滑塊/推桿開始下降時,機械聯動裝置會自動確保手從操作點撤回。 圖 21 顯示了小型壓力機上的回拉裝置。
圖 21. 壓力機上的回拉裝置
約束裝置
一些國家已經使用了利用連接在固定點和操作者手之間的電纜或帶子的約束裝置。 這些設備通常不被認為是可接受的安全措施,因為它們很容易被操作員繞過,從而使手進入危險區域。 (見表 2。)
表 2. 設備
選項 |
保障行動 |
優點 |
限制 |
光電 |
· 光場中斷時機器不會開始循環 |
· 可以讓操作者活動自如 |
· 不能防止機械故障 |
無線電頻率 |
· 電容場中斷時機器循環不會啟動 |
· 可以讓操作者活動自如 |
· 不能防止機械故障 |
機電式 |
· 接觸棒或探針在操作員和危險區域之間移動預定距離 |
· 允許在操作點訪問 |
· 必須針對每個應用適當調整接觸棒或探針; 必須妥善維護此調整 |
拉回來 |
· 當機器開始循環時,操作者的手被拉出危險區域 |
· 無需在危險區域設置輔助屏障或其他干擾 |
· 限制操作員的移動 |
安全跳閘控制: |
· 絆倒時停止機器 |
· 使用簡單 |
· 所有控制必須手動激活 |
雙手控制 |
· 需要雙手同時使用,防止操作者進入危險區域 |
· 操作者的手在遠離危險區域的預定位置 |
· 需要帶剎車的部分循環機器 |
雙手旅行 |
· 同時使用兩隻手控制不同的控件,防止機器循環啟動時雙手處於危險區域 |
· 操作者的手遠離危險區域 |
· 操作員可能會在跳閘後嘗試進入危險區域 |
門 |
· 在危險區域和操作員或其他人員之間提供一道屏障 |
· 可以防止伸手進入或走進危險區域 |
· 可能需要經常檢查和定期維護 |
安全控制裝置
所有這些安全控制裝置都是手動啟動的,必須手動重置才能重新啟動機器:
按位置或距離保護
要按位置保護機器,必須將機器或其危險運動部件放置在危險區域無法進入或在機器正常運行期間不會對工人造成危險的位置。 這可以通過限制進入機器的圍牆或圍欄來實現,或者通過放置機器來實現,以便工廠設計特徵(例如牆壁)保護工人和其他人員。 另一種可能性是將危險部件放置在足夠高的位置,使任何工人都無法正常觸及。 在嘗試這種保護技術之前,必須對每台機器和特定情況進行徹底的危險分析。 下面提到的例子是按位置/距離保護原則的眾多應用中的幾個。
餵食過程。 如果可以保持安全距離以保護工人的手,則可以通過位置來保護餵食過程。 正在加工的原料的尺寸可以提供足夠的安全性。 例如,在操作單端沖孔機時,如果坯料有幾英尺長,並且只有坯料的一端正在加工,則操作員可以在進行工作時握住另一端。 但是,根據機器的不同,其他人員可能仍需要保護。
定位控制。 操作員控制站的定位提供了一種按位置進行保護的潛在方法。 如果操作員沒有理由看管機器,則操作員控件可以位於與機器保持安全距離的位置。
進出料保障方法
許多進料和出料方法不需要操作人員將手放在危險區域。 在某些情況下,機器設置後不需要操作員參與,而在其他情況下,操作員可以在進料機構的幫助下手動進料。 此外,可以設計出在機器開始運行後不需要任何操作員參與的彈出方法。 一些進給和彈出方法本身甚至可能會產生危險,例如機器人可能不需要操作員靠近機器,但可能會因其手臂的運動而產生新的危險。 (見表 3。)
表 3. 進給和彈出方法
選項 |
保障行動 |
優點 |
限制 |
自動送紙 |
· 庫存由捲筒進料,由機器機構等分度。 |
· 無需操作員介入危險區域 |
· 還需要其他防護裝置來保護操作員——通常是固定式屏障防護裝置 |
半自動 |
· 原料由滑槽、活動模具、刻度盤進給 |
· 無需操作員介入危險區域 |
· 還需要其他防護裝置來保護操作員——通常是固定式屏障防護裝置 |
Automatic 自動錶 |
· 工件通過空氣或機械方式彈出 |
· 無需操作員介入危險區域 |
· 可能會產生吹屑或碎屑的危險 |
半自動 |
· 工件由機械頂出 |
· 操作員不必進入危險區域來移除完成的工作 |
· 操作人員需要的其他防護措施 |
機器人 |
· 他們執行通常由操作員完成的工作 |
· 操作員不必進入危險區域 |
· 會自己製造危險 |
使用以下五種進給和彈出方法之一來保護機器並不能消除對防護裝置和其他裝置的需求,必須在必要時使用這些裝置來提供保護,以免暴露於危險中。
自動送紙. 自動進給減少了操作員在工作過程中的暴露,並且在機器設置和運行後通常不需要操作員的任何努力。 圖 28 中的壓力機有一個自動進給機構,在危險區域有一個透明的固定外殼防護罩。
圖 28. 帶自動進給的動力壓力機
半自動送料. 對於半自動進給,就像在動力壓力機的情況下一樣,操作員使用一種機制在每個衝程中將正在加工的工件放置在沖壓機下方。 操作者無需將手伸入危險區域,危險區域完全封閉。 圖 29 顯示了一個滑槽進料器,每個工件都被手動放入其中。 在傾斜壓力機上使用斜槽進料不僅有助於在零件滑入模具時將其居中,而且還可以簡化頂出問題。
圖 29. 帶斜槽進料的動力壓力機
自動彈出. 自動頂出可以採用氣壓或機械設備從壓力機上移除完成的零件,並且可以與操作控制互鎖以防止操作直到零件頂出完成。 當滑塊朝上位置移動時,圖 30 中所示的平移梭機構在成品部件下方移動。 然後,穿梭車接住被頂出銷從滑塊上剝離的零件,並將其偏轉到滑槽中。 當壓頭向下移動到下一個毛坯時,盤梭從模具區域移開。
圖 30. 穿梭彈射系統
半自動頂出. 圖 31 顯示了用於動力壓力機的半自動頂出機構。 當柱塞從模具區域撤回時,與柱塞機械連接的頂出腿將完成的工作踢出。
圖 31. 半自動彈出機制
機器人. 機器人是複雜的設備,可以裝載和卸載庫存、組裝零件、轉移物體或執行操作員以其他方式完成的工作,從而消除操作員暴露在危險中的風險。 它們最適合用於需要重複例行程序的高生產過程,在這些過程中它們可以防止對員工造成其他危害。 機器人可能會造成危險,因此必須使用適當的防護裝置。 圖 32 顯示了機器人為壓力機送料的示例。
圖 32. 使用護欄保護機器人外殼
雜項保護輔助工具
儘管各種防護輔助工具不能完全保護機器免受危險,但它們可以為操作員提供額外的安全邊際。 在應用和使用它們時需要做出明智的判斷。
意識障礙. 意識障礙不提供物理保護,而只是提醒操作員他們正在接近危險區域。 通常,當持續暴露於危險中時,意識障礙被認為是不夠的。 圖 33 顯示了一根繩索,用作電動平角剪後部的意識屏障。 障礙物並不能從物理上阻止人們進入危險區域,而只是提供危險意識。
圖 33. 動力剪切方塊的後視圖
盾. 防護罩可用於防止飛揚的顆粒、飛濺的金屬加工液或冷卻劑。 圖 34 顯示了兩個潛在的應用。
圖 34. 屏蔽的應用
持有工具. 固定工具放置和移除庫存。 典型的用途是伸入壓力機或折彎機的危險區域。 圖 35 顯示了用於此目的的各種工具。 不應使用固定工具 代替 其他機器安全措施; 它們只是對其他警衛提供的保護的補充。
圖 35. 固定工具
推棒或積木,如圖 36 所示,可以在將原料送入機器(例如鋸片)時使用。 當需要將手靠近刀片時,推桿或推塊可以提供安全邊際並防止受傷。
圖 36. 使用推桿或推塊
微電子學和傳感器技術的普遍發展使人們有理由希望,通過可靠、耐用、低維護和廉價的存在和接近探測器的可用性,可以實現職業安全的改善。 本文將介紹傳感器技術、不同的檢測程序、適用於傳感器系統使用的條件和限制,以及在德國完成的一些研究和標準化工作。
存在探測器標準
存在檢測器的開發和實際測試是未來提高職業安全和保護一般人員的技術努力的最大挑戰之一。 存在檢測器 是可靠和確定地發出信號的傳感器 接近一個人的存在或方法。 此外,該警告必須迅速發生,以便在預測的接觸發生之前可以採取規避行動、制動或關閉固定機器。 人是大還是小,無論他們的姿勢如何,或者他們穿著如何,都不會對傳感器的可靠性產生影響。 此外,傳感器必須具備可靠的功能、堅固且價格低廉,以便可以在最苛刻的條件下使用,例如建築工地和移動應用,並且只需最少的維護。 傳感器必須像安全氣囊一樣免維護且隨時可用。 鑑於一些用戶不願意維護他們認為不重要的設備,傳感器可能會多年無人維修。 存在檢測器的另一個更可能被要求的功能是,它們還可以檢測除人類以外的障礙物,並及時提醒操作員採取防禦措施,從而降低維修成本和材料損壞。 這是安裝不應被低估的存在檢測器的原因。
探測器應用
如果存在檢測器在職業安全領域作為一種預防措施得到越來越多的接受,那麼無數死亡事故和重傷似乎是不可避免的、個人的命運行為,可以避免或減少到最低限度。 報紙經常報導這些事故:這裡有人被向後移動的裝載機撞到,那裡操作員沒有看到有人被電鏟的前輪碾過。 卡車在街道、公司場所和建築工地上倒退是許多人發生事故的原因。 今天徹底合理化的公司不再提供副駕駛或其他人作為倒車司機的嚮導。 這些移動事故的例子可以很容易地擴展到其他移動設備,例如叉車。 然而,迫切需要使用傳感器來防止涉及半移動和純固定設備的事故。 一個例子是大型裝載機的後部區域,安全人員已將其確定為潛在危險區域,可以通過使用廉價傳感器來改善這些區域。 許多存在檢測器的變體可以創新地適用於其他車輛和大型移動設備,以防止本文討論的事故類型,這些事故通常會造成廣泛的損壞和嚴重的傷害,如果不是致命的話。
創新解決方案越來越普遍的趨勢似乎預示著存在檢測器將成為其他應用中的標準安全技術; 然而,情況並非如此。 受事故和高物質損失的推動,有望在貨車和重型卡車後方監控以及“新技術”最具創新性的領域——未來的移動機器人機器方面取得突破。
存在檢測器應用領域的變化和任務的變化——例如,容忍屬於檢測領域且不應觸發信號的物體(甚至是移動物體,在某些條件下)——需要傳感器,其中“智能”評估技術支持傳感器功能機制。 這項技術是未來發展的問題,可以從人工智能領域的方法中得到闡述(Schreiber 和 Kuhn 1995)。 迄今為止,有限的通用性嚴重限制了傳感器的當前使用。 有光幕; 燈條; 接觸墊; 被動紅外傳感器; 使用多普勒效應的超聲波和雷達運動探測器; 對超聲波、雷達和光脈衝進行經過時間測量的傳感器; 和激光掃描儀。 連接到監視器的普通電視攝像機不包括在此列表中,因為它們不是存在檢測器。 但是,包括那些在檢測到人的存在時會自動啟動的相機。
傳感器技術
今天的主要傳感器問題是 (1) 優化物理效應(紅外線、光、超聲波、雷達等)的使用和 (2) 自我監控。 激光掃描儀正在集中開髮用作移動機器人的導航儀器。 為此,必須解決原則上部分不同的兩項任務:機器人的導航和對在場人員(以及材料或設備)的保護,以免他們被撞到、碾過或被抓住(Freund、Dierks 和 Rossman,1993 年) ). 未來的移動機器人無法保留嚴格應用於當今固定式工業機器人的“機器人與人的空間分離”的相同安全理念。 這意味著要高度重視所用存在檢測器的可靠功能。
“新技術”的使用通常與接受問題有關,可以假設在工廠、公共交通區域、甚至家庭或娛樂區的人群中,可以移動和抓取的移動機器人的普遍使用, 只有配備非常發達、精密和可靠的存在檢測器,才會被接受。 必須不惜一切代價避免重大事故,以避免加劇可能的驗收問題。 目前開發此類職業保護傳感器的支出水平並未考慮到這一點。 為了節省大量成本,存在檢測器應該與移動機器人和導航系統同時開發和測試,而不是事後進行。
對於機動車輛,安全問題變得越來越重要。 創新的汽車乘客安全包括三點式安全帶、兒童座椅、安全氣囊和通過系列碰撞測試驗證的防抱死制動系統。 這些安全措施占生產成本的比例相對增加。 用於測量與前方車輛距離的側面安全氣囊和雷達傳感器系統是乘客保護方面的進化發展。
外部機動車安全——即對第三方的保護——正受到越來越多的關注。 最近,主要針對卡車需要側面保護,以防止騎摩托車的人、騎自行車的人和行人免受後輪跌落的危險。 下一個合乎邏輯的步驟是使用存在檢測器監控大型車輛後面的區域並安裝後方區域警告設備。 這將產生積極的副作用,即提供開發、測試和提供最大性能、自我監控、免維護和可靠運行、用於職業安全目的的廉價傳感器所需的資金。 與傳感器或傳感器系統的廣泛實施相伴的試驗過程將大大促進其他領域的創新,例如電鏟、重型裝載機和其他大型移動機器,這些機器在運行期間有一半的時間是倒車的。 從靜止機器人到移動機器人的進化過程是存在檢測器的另一條發展路徑。 例如,可以對目前用於移動機器人物料搬運車或“無人駕駛工廠車間拖拉機”的傳感器進行改進,它們遵循固定路徑,因此安全要求相對較低。 使用存在檢測器是提高物料和客運領域安全性的下一個合乎邏輯的步驟。
檢測程序
與電子測量和自我監測方法以及在一定程度上的高性能計算程序相關的各種物理原理可用於評估和解決上述任務。 在科幻電影中如此常見的自動機器(機器人)顯然毫不費力和可靠的操作,可能會在現實世界中通過使用成像技術和高性能模式識別算法以及類似於那些的距離測量方法來實現受僱於激光掃描儀。 必須認識到對人來說似乎很簡單的一切對機器人來說都很困難的矛盾情況。 例如,與直立行走或進行手眼和其他運動協調(由中腦和後腦)。 以下描述了適用於傳感器應用的一些原則、方法和程序。 除了這些之外,還有大量用於非常特殊任務的特殊程序,這些程序在一定程度上結合了各種類型的物理效果。
光障窗簾和酒吧。 最早的存在檢測器包括光幕和光柵。 它們具有平坦的監控幾何結構; 也就是過了關卡的人就不會再被發現了。 例如,可以使用這些設備快速可靠地檢測操作員的手,或操作員手中所持工具或零件的存在。 它們為需要手動放入材料的機器(如壓力機和沖壓機)的職業安全做出了重要貢獻。 統計上的可靠性必須非常高,因為當手每分鐘僅伸手兩到三次時,短短幾年內就會執行大約一百萬次操作。 發送器和接收器組件的相互自我監控已經發展到如此高的技術水平,它代表了所有其他存在檢測程序的標準。
接觸墊(開關墊). 電動和氣動接觸墊和地板有被動和主動(泵)類型,最初大量用於服務功能(開門器),直到它們被運動檢測器取代。 隨著在各種危險區域中使用存在檢測器,進一步的發展得到了發展。 例如,自動化製造的發展伴隨著工人功能的改變——從操作機器到嚴格監控其功能——產生了對合適檢測器的相應需求。 這種使用的標準化非常先進(DIN 1995a),特殊限制(佈局、尺寸、最大允許“死區”)需要開發在該使用領域安裝的專業知識。
接觸墊的有趣可能用途與計算機控制的多機器人系統一起出現。 操作員切換一個或兩個元件,以便存在檢測器可以拾取他或她的確切位置並通知計算機,計算機管理帶有內置防撞系統的機器人控制系統。 在德國聯邦安全研究所 (BAU) 推進的一項測試中,為此目的,在機器人手臂的工作區域下方建造了一個由小型電氣開關墊組成的接觸墊地板(Freund、Dierks 和 Rossman,1993 年)。 該存在檢測器具有棋盤的形式。 分別激活的墊子區域告訴計算機操作員的位置(圖 1),當操作員離機器人太近時,它就會離開。 如果沒有存在檢測器,機器人系統將無法確定操作員的位置,從而無法保護操作員。
圖 1. 計算包裝體中的一個人(右)和兩個機器人
反射器(運動傳感器和存在檢測器)。 無論到目前為止討論的傳感器多麼有價值,它們都不是廣義上的存在檢測器。 它們對大型車輛和大型移動設備的適用性——主要是出於職業安全的原因——以兩個重要特徵為先決條件:(1) 能夠從一個位置監控一個區域,以及 (2) 無差錯運行,無需額外措施的一部分——例如,反射裝置的使用。 檢測進入監控區域的人的存在並保持停止直到此人離開也意味著需要檢測絕對靜止不動的人。 這將所謂的運動傳感器與存在檢測器區分開來,至少與移動設備有關; 運動傳感器幾乎總是在車輛啟動時觸發。
運動傳感器。 運動傳感器的兩種基本類型是:(1)“被動紅外傳感器”(PIRS),它對監控區域中紅外光束的最小變化做出反應(最小可檢測光束約為 10-9 W,波長范圍約為 7 至 20 μm); (2) 超聲波和微波傳感器利用多普勒原理,根據頻率變化確定物體的運動特性。 例如,多普勒效應會在機車靠近時為觀察者增加機車喇叭的頻率,並在機車遠離時降低頻率。 多普勒效應使得構建相對簡單的接近傳感器成為可能,因為接收器只需要監測相鄰頻段的信號頻率以了解多普勒頻率的出現。
在 1970 世紀 1980 年代中期,運動檢測器的使用在諸如開門器、盜竊安全和物體保護等服務功能應用中變得普遍。 對於固定使用,檢測到有人接近危險點足以及時發出警告或關閉機器。 這是研究運動檢測器在職業安全中的適用性的基礎,尤其是通過 PIRS(Mester 等人,34 年)。 由於穿著衣服的人的體溫通常高於周圍區域(頭部 31°C,手部 XNUMX°C),因此檢測接近的人比檢測無生命的物體要容易一些。 在一定程度上,機器部件可以在不觸發檢測器的情況下在監控區域內移動。
被動方法(沒有發射器)有優點也有缺點。 優點是 PIRS 不會增加噪音和電氣煙霧問題。 對於盜竊安全和物品保護,探測器不易被發現尤為重要。 然而,純粹作為接收器的傳感器幾乎無法監測其自身的有效性,而這對於職業安全至關重要。 克服此缺點的一種方法是測試小型調製(5 至 20 赫茲)紅外發射器,這些發射器安裝在受監控區域並且不會觸發傳感器,但其光束通過設置為調製頻率的固定電子放大進行記錄。 這種修改將其從“被動”傳感器轉變為“主動”傳感器。 通過這種方式,還可以檢查監控區域的幾何精度。 鏡子可能有盲點,而被動傳感器的方向可能會因植物中的粗暴活動而偏離。 圖 2 顯示了一個帶有 PIRS 的測試佈局,該 PIRS 具有金字塔地幔形式的受監測幾何形狀。 由於其覆蓋範圍廣,被動紅外傳感器被安裝在例如貨架存儲區域的通道中。
圖 2. 被動紅外傳感器作為危險區域中的接近檢測器
總的來說,測試表明運動探測器不適合職業安全。 博物館的夜間樓層無法與工作場所的危險區域相提並論。
超聲波、雷達和光脈衝探測器。 使用脈衝/回波原理的傳感器——即超聲波、雷達或光脈衝的經過時間測量——具有作為存在檢測器的巨大潛力。 使用激光掃描儀,光脈衝可以快速連續掃描(通常以旋轉方式),例如,水平掃描,並且在計算機的幫助下,人們可以獲得反射光平面上物體的距離輪廓。 例如,如果不僅需要一條線,還需要移動機器人前面 2 米高的區域的全部內容,則必須處理大量數據以描繪周圍區域。 未來的“理想”存在檢測器將包含以下兩個過程的組合:
圖 3 顯示,來自先前引用的 BAU 項目(Freund、Dierks 和 Rossman 1993),在移動機器人上使用激光掃描儀,該機器人還承擔導航任務(通過方向感應光束)和對附近物體的碰撞保護附近(通過地面測量光束進行存在檢測)。 鑑於這些特點,移動機器人有能力 主動自動自由駕駛 (即繞過障礙物的能力)。 從技術上講,除了向前旋轉 45° 角之外,還可以利用掃描儀在兩側(機器人的左舷和右舷)向後旋轉 180° 角來實現。 這些光束與一個特殊的鏡子相連,該鏡子充當移動機器人前面地板上的光幕(提供地面視線)。 如果激光反射來自那裡,機器人就會停止。 雖然市場上有經過職業安全使用認證的激光和光掃描儀,但這些存在檢測器具有進一步發展的巨大潛力。
圖 3. 帶有用於導航和存在檢測的激光掃描儀的移動機器人
超聲波和雷達傳感器使用從信號到響應所經過的時間來確定距離,從技術角度來看要求不高,因此生產成本更低。 感應區呈球桿狀,有一個或多個較小的側球桿,對稱排列。 信號傳播的速度(聲音:330 米/秒;電磁波:300,000 公里/秒)決定了所用電子設備的必要速度。
後方警告裝置。 在 1985 年的漢諾威博覽會上,BAU 展示了使用超聲波傳感器確保大型車輛後方區域安全的初始項目的結果(Langer 和 Kurfürst 1985)。 由 Polaroid™ 傳感器製成的全尺寸傳感器頭模型安裝在供應卡車的後牆上。 圖 4 示意性地顯示了它的功能。 該傳感器的大直徑產生相對小角度(約 18°)、長距離的棒狀測量區域,彼此相鄰排列並設置為不同的最大信號範圍。 在實踐中,它允許人們設置任何所需的監控幾何形狀,傳感器大約每秒掃描四次以檢測人員的存在或進入。 其他展示的後方區域警告系統有幾個平行的單獨排列的傳感器。
圖 4 貨車後側測頭佈置及監測區域
這種生動的演示在展會上取得了巨大的成功。 它表明,許多地方正在研究保護大型車輛和設備的後方區域——例如,工業貿易協會的專門委員會 (Berufsgenossenschaften)、市政事故保險公司(負責市政車輛)、國家工業監督官員和傳感器生產商,他們更多地考慮將汽車作為服務車輛(在關注停車系統以防止車身損壞)。 自發成立了一個從各團體中抽調出來的後方區域警告裝置推廣特設委員會,並將從職業安全的角度準備一份要求清單作為首要任務。 十年過去了,在此期間,在後方區域監控方面取得了很大進展——這可能是存在檢測器最重要的任務; 但仍未取得重大突破。
許多項目都使用了超聲波傳感器——例如,圓木分揀起重機、液壓挖掘機、市政專用車輛和其他多用途車輛,以及叉車和裝載機 (Schreiber 1990)。 後方區域警告裝置對於大部分時間倒車的大型機械尤為重要。 例如,超聲波存在檢測器用於保護專門的無人駕駛車輛,例如機器人物料搬運機。 與橡膠緩衝器相比,這些傳感器具有更大的檢測區域,可在機器與物體接觸之前提供製動。 用於汽車的相應傳感器是適當的開發並且涉及相當不嚴格的要求。
同時,DIN 運輸系統技術標準委員會制定了標準 75031,“倒車時的障礙物檢測裝置”(DIN 1995b)。 要求和測試針對兩個範圍設定:1.8 m 用於補給卡車,3.0 m(額外警告區域)用於大型卡車。 通過識別圓柱形測試體來設置監控區域。 3 米範圍也是目前技術上可能的極限,因為考慮到其惡劣的工作條件,超聲波傳感器必須具有封閉的金屬膜。 正在設置傳感器系統自我監控的要求,因為所需的監控幾何結構只能通過三個或更多傳感器的系統來完成。 圖 5 顯示了一個由三個超聲波傳感器組成的後方區域警告裝置 (Microsonic GmbH 1996)。 這同樣適用於駕駛室中的通知裝置和警告信號的類型。 DIN 標準 75031 的內容也在國際技術 ISO 報告 TR 12155“商用車輛——倒車時的障礙物檢測裝置”(ISO 1994) 中列出。 各種傳感器生產商已根據此標准開發了原型。
圖 5. 配備後方區域警告裝置的中型卡車(Microsonic 照片)。
結論
自 1970 世紀 75031 年代初以來,多家機構和傳感器製造商致力於開發和建立“存在檢測器”。 在“後方警告裝置”的特殊應用方面,有DIN標準12155和ISO報告TR XNUMX。目前德國郵政公司正在進行一項重大測試。 幾家傳感器製造商分別為五輛中型卡車配備了此類設備。 該測試的積極結果非常有利於職業安全。 正如一開始所強調的那樣,所需數量的存在檢測器對於提到的許多應用領域中的安全技術來說是一個巨大的挑戰。 因此,如果設備、機器和材料的損壞,尤其是人身傷害(通常非常嚴重)將成為過去,那麼它們必須能夠以低成本實現。
用於隔離和開關的控制設備和設備必須始終與 技術系統,本文中使用的一個術語,包括機器、裝置和設備。 每個技術系統都完成特定的和分配的實際任務。 如果要在安全條件下執行或什至可能執行此實際任務,則需要適當的安全控制和開關設備。 這些裝置用於啟動控制、中斷或延遲電流和/或電、液壓、氣動以及勢能的脈衝。
隔離和節能
隔離裝置用於通過斷開能源和技術系統之間的供電線路來隔離能源。 隔離裝置通常必須產生明確可確定的實際能量供應斷開。 能源供應的斷開也應始終與技術系統所有部分中存儲的能量減少相結合。 如果技術系統由多個能源供電,則所有這些供電線路都必須能夠可靠地隔離。 受過處理相關類型能源培訓的人員以及在技術系統的能源端工作的人員使用隔離裝置來保護自己免受能源的危害。 出於安全原因,這些人員將始終檢查以確保技術系統中沒有存在潛在危險的能量——例如,在電能的情況下確定不存在電勢。 只有經過培訓的專家才能無風險地操作某些隔離裝置; 在這種情況下,必須使未經授權的人員無法接觸隔離裝置。 (見圖 1。)
圖 1 電動和氣動隔離裝置的原理
主開關
主開關裝置將技術系統與能源供應斷開。 與隔離裝置不同,即使“非能源專家”也可以毫無危險地操作它。 總開關設備用於在給定時刻斷開未使用的技術系統,例如,它們的操作被未經授權的第三方阻礙。 它還用於實現斷開連接,用於維護、故障維修、清潔、重置和改裝等目的,前提是這些工作可以在系統中沒有能量的情況下完成。 自然地,當主開關裝置也具有隔離裝置的特性時,它也可以承擔和/或分擔其功能。 (見圖 2。)
圖 2. 電動和氣動主開關設備的示例圖
安全斷開裝置
安全斷開裝置不會斷開整個技術系統與能源的連接; 相反,它從對特定操作子系統至關重要的系統部分中移除能量。 可以為操作子系統指定短期干預——例如,用於系統的設置或重置/改裝、故障維修、定期清潔以及課程期間所需的必要和指定的動作和功能序列設置、重置/改裝或試運行。 在這些情況下,複雜的生產設備和工廠不能簡單地用主開關裝置關閉,因為在故障修復後,整個技術系統無法從停止的地方再次啟動。 此外,在更廣泛的技術系統中,主開關設備很少位於必須進行干預的地方。 因此,安全斷開裝置必須滿足多項要求,例如:
在給定技術系統中使用的主開關裝置能夠滿足安全斷開裝置的所有要求的情況下,它也可以承擔此功能。 但這當然只有在非常簡單的技術系統中才是可靠的權宜之計。 (見圖 3。)
圖 3. 安全斷開裝置的基本原理圖示
操作子系統的控制裝置
控制裝置允許安全地實施和控制技術系統的操作子系統所需的運動和功能序列。 設置可能需要操作子系統的控制裝置(當要執行試運行時); 用於調節(當系統運行中的故障需要修理或必須清除堵塞時); 或培訓目的(示範操作)。 在這種情況下,系統的正常運行不能簡單地重新啟動,因為乾預人員會因錯誤輸入或錯誤生成的控制信號觸發的動作和過程而受到威脅。 操作子系統的控制裝置必須符合以下要求:
緊急開關
如果技術系統的正常運行可能導致危險,而適當的系統設計或採取適當的安全預防措施都無法避免,則需要緊急開關。 在操作子系統中,緊急開關通常是操作子系統控制裝置的一部分。 當在危險情況下操作時,緊急開關執行使技術系統盡快返回到安全操作狀態的過程。 關於安全優先事項,人身保護是首要問題; 防止材料損壞是次要的,除非後者也可能危及人身安全。 緊急開關必須滿足以下要求:
功能開關控制裝置
功能開關控制裝置用於打開技術系統以進行正常操作,並啟動、執行和中斷指定用於正常操作的動作和過程。 功能開關控制裝置僅在技術系統的正常運行過程中使用,即在不受干擾地執行所有指定功能期間使用。 它由運行技術系統的人員相應地使用。 功能開關控制設備必須滿足以下要求:
監控開關
只要監控的安全條件不滿足,監控開關就會阻止技術系統啟動,一旦安全條件不再滿足,它們就會中斷運行。 例如,它們用於監控保護室的門、檢查安全防護裝置的正確位置或確保不超過速度或路徑限制。 監控開關必須相應地滿足以下安全和可靠性要求:
安全控制電路
上述幾種安全開關裝置並不直接執行安全功能,而是通過發出信號,然後由安全控制電路傳輸和處理,最終到達技術系統中執行實際安全功能的那些部分。 例如,安全斷路裝置經常會間接導致關鍵點的能量斷開,而主開關通常會直接斷開技術系統的電流供應。
由於安全控制電路必須可靠地傳輸安全信號,因此必須考慮以下原則:
安全控制電路中使用的組件必須以特別可靠的方式執行安全功能。 不滿足此要求的部件的功能應通過安排盡可能多樣化的冗餘來實現,並應受到監視。
在過去幾年中,微處理器在安全技術領域發揮著越來越重要的作用。 由於整個計算機(即中央處理器、存儲器和外圍組件)現在都可以作為“單片機”的單個組件使用,微處理器技術不僅用於復雜的機器控制,而且用於相對簡單設計的安全保障(例如,光柵、雙手控制裝置和安全邊緣)。 控制這些系統的軟件包含一千到幾萬條單個命令,通常由數百個程序分支組成。 這些程序是實時運行的,大部分是用程序員的彙編語言編寫的。
在安全技術領域引入計算機控制系統的同時,所有大型技術設備不僅進行了昂貴的研發項目,而且還進行了旨在提高安全性的重大限制。 (這裡可以引用航空航天技術、軍事技術和原子能技術作為大規模應用的例子。)工業大規模生產的集體領域迄今僅以非常有限的方式得到處理。 這部分是因為工業機器設計的創新特徵的快速循環使得很難以非常有限的方式繼承這種知識,這些知識可能來自與大規模最終測試有關的研究項目安全設備。 這使得開發快速和低成本的評估程序成為迫切需要(Reinert 和 Reuss 1991)。
本文首先檢查計算機系統目前執行安全任務的機器和設施,使用主要發生在機器保障領域的事故示例來描述計算機在安全技術中發揮的特殊作用。 這些事故表明必須採取哪些預防措施,以便目前越來越廣泛使用的計算機控制的安全設備不會導致事故數量的增加。 本文的最後一節概述了一個過程,該過程將使即使是小型計算機系統也能以合理的費用在可接受的時間段內達到適當的技術安全水平。 最後一部分中指出的原則目前正被引入國際標準化程序,並將對計算機應用的所有安全技術領域產生影響。
在機器保障領域使用軟件和計算機的例子
以下四個例子清楚地表明,軟件和計算機目前越來越多地進入商業領域的安全相關應用。
個人緊急信號裝置通常由一個中央接收站和多個個人緊急信號裝置組成。 設備由現場工作人員自行攜帶。 如果這些單獨工作的人中的任何一個發現自己處於緊急情況下,他們可以使用該設備通過中央接收站的無線電信號觸發警報。 這種依賴於意志的警報觸發器也可以由內置於個人應急設備中的傳感器激活的獨立於意志的觸發機制來補充。 單個設備和中央接收站都經常由微型計算機控制。 可以想像,在緊急情況下,內置計算機的特定單一功能故障可能會導致無法觸發警報。 因此,必須採取預防措施及時發現並修復這種功能喪失。
今天用於印刷雜誌的印刷機是大型機器。 紙幅通常由單獨的機器以能夠無縫過渡到新紙捲的方式製備。 印刷的頁面由折疊機折疊,然後通過一系列進一步的機器進行加工。 這導致貨盤上裝滿了完全縫合的雜誌。 儘管此類設備是自動化的,但有兩點必須進行人工干預:(1) 紙張路徑的穿線,以及 (2) 清除旋轉輥上危險點處紙張撕裂造成的障礙物。 出於這個原因,在調整壓力機時,控制技術必須確保降低操作速度或路徑或時間限制的點動模式。 由於涉及復雜的控製程序,每個印刷站都必須配備自己的可編程邏輯控制器。 必須防止在防護柵打開時印刷廠控制中發生的任何故障導致停止的機器意外啟動或超過適當降低的速度運行。
在大型工廠和倉庫中,無人駕駛、自動引導的機器人車輛在特別標記的軌道上移動。 這些軌道可以隨時被人行走,或者材料和設備可能會不經意地留在軌道上,因為它們在結構上沒有與其他交通線路分開。 出於這個原因,必須使用某種防撞設備來確保車輛在與人或物體發生任何危險碰撞之前停下來。 在最近的應用中,碰撞預防是通過與安全保險槓結合使用的超聲波或激光掃描儀來實現的。 由於這些系統在計算機控制下工作,因此可以配置多個永久檢測區域,以便車輛可以根據人員所在的特定檢測區域修改其反應。 保護裝置的故障不得導致與人的危險碰撞。
切紙控制裝置 絞刀用於壓切厚紙垛。 它們由雙手控制裝置觸發。 每次切割後,用戶必須將手伸入機器的危險區域。 非物質防護裝置(通常是光柵)與雙手控制裝置和安全機器控制系統結合使用,以防止在切割操作期間進紙時受傷。 當今使用的幾乎所有更大、更現代的斷頭台都是由多通道微型計算機系統控制的。 雙手操作和光柵也必須保證安全運行。
計算機控制系統事故
在幾乎所有的工業應用領域,都有軟件和計算機事故的報導(Neumann 1994)。 在大多數情況下,計算機故障不會導致人身傷害。 在任何情況下,此類失敗只有在涉及公眾利益時才會公開。 這意味著與計算機和軟件相關的故障或事故中涉及人身傷害的案例在所有公開案例中所佔比例較高。 不幸的是,對於不會引起公眾強烈轟動的事故,其原因的調查強度與更突出的事故(通常是大型工廠中的事故)的強度完全相同。 出於這個原因,下面的示例參考了機器安全防護領域以外的計算機控制系統的四種典型故障或事故描述,用於建議在做出有關安全技術的判斷時必須考慮的因素。
硬件隨機故障導致的事故
以下事故是由硬件中的隨機故障集中和編程故障引起的:化工廠中的反應器過熱,於是安全閥打開,反應器中的內容物被排放到大氣中。 在收到變速箱油位過低的警告後不久,就發生了這一事故。 對事故的仔細調查表明,催化劑在反應器中引發反應後不久——因此反應器需要更多的冷卻——計算機根據齒輪箱中低油位的報告,凍結了所有在其控制下的幅度為固定值。 這使冷水流量保持在過低的水平,結果反應堆過熱。 進一步調查表明,低油位指示是由故障部件發出的。
該軟件已根據規範做出響應,觸發警報並修復所有操作變量。 這是事件發生前進行的 HAZOP(危害和可操作性分析)研究(Knowlton 1986)的結果,該研究要求在發生故障時不得修改所有受控變量。 由於程序員不熟悉該程序的細節,這一要求被解釋為受控執行器(在本例中為控制閥)不得修改; 沒有註意到溫度升高的可能性。 程序員沒有考慮到在收到錯誤信號後,系統可能會發現自己處於一種需要計算機主動干預以防止事故發生的動態情況。 此外,導致事故的情況不太可能在 HAZOP 研究中對其進行詳細分析(Levenson 1986)。 此示例提供了向第二類軟件和計算機事故原因的過渡。 這些是系統從一開始就存在的系統性故障,但僅在開發人員未考慮的某些非常具體的情況下才會出現。
操作失誤引發的事故
在機器人最終檢查期間的現場測試中,一名技術人員借用了相鄰機器人的卡帶並更換了另一個,但沒有通知他的同事他已經這樣做了。 回到工作場所後,這位同事插入了錯誤的磁帶。 由於他站在機器人旁邊,並期望它有一個特定的動作序列——這個序列由於交換的程序而不同——所以機器人和人之間發生了碰撞。 這個事故描述了操作故障的經典例子。 由於計算機控制的安全機制的應用越來越複雜,此類故障在故障和事故中的作用目前正在增加。
由硬件或軟件系統故障引起的事故
一枚帶有彈頭的魚雷是為了訓練目的從公海上的一艘軍艦上發射的。 由於驅動裝置出現故障,魚雷留在魚雷發射管中。 船長決定返回母港打撈魚雷。 在這艘船開始返航後不久,魚雷爆炸了。 對事故的分析表明,魚雷的開發人員不得不在魚雷中安裝一種機制,以防止魚雷在發射後返回發射台,從而摧毀發射它的船隻。 為此選擇的機制如下:在魚雷發射後,使用慣性導航系統進行檢查,看它的航向是否改變了 180°。 魚雷一感應到自己轉了180°,就立刻引爆了,據說是在離發射台安全距離的地方。 這種檢測機制是在魚雷沒有正確發射的情況下啟動的,結果魚雷在船改變航向 180° 後爆炸。 這是一個典型的因規格不符而發生事故的例子。 規範中要求魚雷在航向改變時不應摧毀自己的船隻的要求不夠準確; 預防措施因此被錯誤地編程。 該錯誤僅在特定情況下變得明顯,而程序員沒有考慮到這種可能性。
14 年 1993 月 320 日,漢莎航空公司的一架空客 A 1 在華沙著陸時墜毀(圖 767)。 對事故的仔細調查表明,在 1991 年勞達航空公司的一架波音 1991 飛機發生事故後,對機載計算機的著陸邏輯進行了修改,這是造成這次迫降的部分原因。 在 XNUMX 年的事故中發生的事情是推力偏轉,它轉移了部分發動機氣體以在著陸期間制動飛機,在飛機仍在空中時已經接合,從而迫使機器進入無法控制的俯衝狀態。 出於這個原因,推力偏轉的電子鎖定已內置到空客機器中。 只有在兩組起落架上的傳感器發出減震器在機輪著陸壓力下壓縮的信號後,該機制才允許推力偏轉生效。 根據不正確的信息,華沙飛機的飛行員預計會有強側風。
圖 1. 1993 年在華沙發生事故後的漢莎空中客車公司
出於這個原因,他們將機器稍微傾斜,空中客車只用右輪著陸,左軸承重量不足。 由於推力偏轉的電子鎖定,機載計算機在 XNUMX 秒的時間裡拒絕飛行員進行這樣的操作,儘管這種操作本可以讓飛機在不利的情況下安全著陸。 這起事故非常清楚地表明,如果不事先考慮其可能後果的範圍,對計算機系統的修改可能會導致新的危險情況。
下面的故障示例也說明了修改單個命令可能對計算機系統造成的災難性影響。 在化學測試中,血液中的酒精含量是使用預先從中離心出血球的清澈血清來確定的。 因此,血清的酒精含量比較稠的全血高(1.2 倍)。 出於這個原因,血清中的酒精值必須除以 1.2,才能確定法律和醫學上關鍵的千分率。 在 1984 年舉行的實驗室間測試中,將在不同研究機構使用血清進行的相同測試中確定的血液酒精值相互比較。 由於這只是一個比較問題,除以 1.2 的命令在實驗期間從其中一個機構的程序中刪除。 實驗室間測試結束後,此時程序中錯誤地引入了乘以 1.2 的命令。 結果,在 1,500 年 1984 月至 1985 年 1.0 月期間,計算出了大約 1.3 個不正確的千分率值。 這個錯誤對於血液酒精含量在千分之 1.3 到 XNUMX 之間的卡車司機的職業生涯至關重要,因為導致長時間沒收駕駛執照的法律處罰是 XNUMX 的價值的結果。
由操作壓力或環境壓力的影響引起的事故
由於在CNC(計算機數控)衝步沖床的有效區域收集廢物引起的干擾,用戶實施了“程序停止”。 當他試圖用手清除廢物時,機器的推桿開始移動,儘管已按程序停止,並嚴重傷害了用戶。 對事故的分析表明,這不是程序錯誤的問題。 無法重現意外啟動。 過去在同類型的其他機器上也觀察到類似的異常情況。 從這些似乎可以推斷出事故一定是由電磁干擾引起的。 日本報導了類似的工業機器人事故(Neumann 1987)。
2 年 18 月 1986 日,航海者 2 號太空探測器發生故障,更清楚地表明了環境壓力對計算機控制系統的影響。 在距離天王星最近的六天前,航海者 1987 號拍攝的照片上覆蓋著大片黑白線條。精確的分析表明,飛行數據子系統命令字中的一位導致了故障,觀察到圖片在探測器中被壓縮。 該位很可能是由於宇宙粒子的影響而在程序存儲器中被撞錯了位置。 僅在兩天后,使用能夠繞過故障記憶點的替換程序,來自探測器的壓縮照片的無差錯傳輸就實現了(Laeser、McLaughlin 和 Wolff XNUMX)。
所呈現的事故摘要
分析的事故表明,在使用簡單機電技術的條件下可能會忽略的某些風險在使用計算機時會變得更加重要。 計算機允許處理複雜的和特定情況的安全功能。 因此,所有安全功能的明確、無差錯、完整和可測試的規範變得尤為重要。 規範中的錯誤很難發現,並且經常是複雜系統中事故的原因。 通常引入可自由編程的控件,目的是能夠靈活快速地對不斷變化的市場做出反應。 然而,修改——尤其是在復雜系統中——會產生難以預見的副作用。 因此,所有修改都必須遵循嚴格正式的變更程序管理,其中將安全功能與與安全無關的部分系統明確分開,這將有助於使安全技術修改的後果易於調查。
計算機在低電量下工作。 因此,它們容易受到外部輻射源的干擾。 由於數以百萬計的單個信號的修改會導致故障,因此值得特別注意與計算機相關的電磁兼容性主題。
計算機控制系統的服務目前變得越來越複雜,因此也越來越不清楚。 因此,從安全技術的角度來看,用戶和配置軟件的軟件人體工程學變得越來越有趣。
沒有計算機系統是 100% 可測試的。 具有 32 個二進制輸入端口和 1,000 個不同軟件路徑的簡單控制機制需要 4.3 × 1012 進行全面檢查的測試。 以每秒執行和評估 100 個測試的速度計算,一個完整的測試需要 1,362 年。
改進計算機控制安全裝置的程序和措施
在過去 10 年內開發了程序,允許掌握與計算機相關的特定安全相關挑戰。 這些過程解決了本節中描述的計算機故障。 所描述的機器防護中的軟件和計算機示例以及所分析的事故表明,損壞的程度以及各種應用所涉及的風險是極其可變的。 因此很明顯,應該針對風險制定必要的預防措施,以改進安全技術中使用的計算機和軟件。
圖 2 顯示了一個定性程序,通過該程序可以獨立於損壞發生的程度和頻率來確定使用安全系統可獲得的必要風險降低(Bell 和 Reinert 1992)。 在“計算機控制系統事故”(上文)部分中分析的計算機系統故障類型可能與所謂的安全完整性等級(即用於降低風險的技術設施)相關。
圖 2. 風險確定的定性程序
圖 3 清楚地表明,在任何給定情況下,為減少軟件和計算機中的錯誤而採取的措施的有效性需要隨著風險的增加而提高(DIN 1994;IEC 1993)。
圖 3,獨立於風險的錯誤預防措施的有效性
對上述事故的分析表明,計算機控制的安全裝置失效不僅是由隨機組件故障引起的,而且是由程序員沒有考慮到的特定操作條件引起的。 在系統維護過程中進行的程序修改的不明顯後果構成了進一步的錯誤來源。 因此,由微處理器控制的安全系統可能會出現故障,儘管這些故障是在系統開發期間發生的,但只有在運行期間才會導致危險情況。 因此,在安全相關係統處於開發階段時,必須採取預防措施來防止此類故障。 這些所謂的故障避免措施不僅在概念階段必須採取,而且在開發、安裝和修改過程中也必須採取。 如果在此過程中發現並糾正某些故障,則可以避免它們 (DIN 1990)。
正如所描述的最後一個事故所表明的那樣,單個晶體管的擊穿可能會導致高度複雜的自動化設備出現技術故障。 由於每個單獨的電路都由數千個晶體管和其他組件組成,因此必須採取多種故障避免措施來識別運行中出現的故障並在計算機系統中啟動適當的反應。 圖 4 描述了可編程電子系統中的故障類型以及為避免和控制計算機系統中的故障而可能採取的預防措施示例(DIN 1990;IEC 1992)。
圖 4. 為控制和避免計算機系統錯誤而採取的預防措施示例
安全技術中可編程電子系統的可能性和前景
現代機器和工廠變得越來越複雜,必須在越來越短的時間內完成越來越全面的任務。 出於這個原因,自 1970 世紀 XNUMX 年代中期以來,計算機系統已經接管了幾乎所有的工業領域。 僅這種複雜性的增加就大大增加了改進此類系統中安全技術所涉及的成本。 儘管軟件和計算機對工作場所的安全提出了巨大挑戰,但它們也使在安全技術領域實施新的錯誤友好系統成為可能。
Ernst Jandl 的一首滑稽但富有啟發性的詩句將有助於解釋這個概念的含義 錯誤友好. “Lichtung:Manche meinen lechts und rinks kann man nicht velwechsern,werch ein Illtum”。 (“方言:許多人認為光和反射不能交換,真是個笑話。”)儘管交換了信件 r l,這個短語很容易被一個正常的成年人理解。 即使英語流利程度不高的人也可以將其翻譯成英語。 然而,單靠一台翻譯計算機幾乎不可能完成這項任務。
這個例子表明,與語言計算機相比,人類可以以更容易出錯的方式做出反應。 這意味著人類和所有其他生物一樣,可以通過將失敗引向經驗來容忍失敗。 如果觀察當今使用的機器,就會發現大多數機器對用戶故障的懲罰不是意外,而是產量下降。 此屬性導致操縱或逃避保障措施。 現代計算機技術將系統置於工作安全的支配之下,這些系統可以智能地做出反應——也就是說,以一種改進的方式。 因此,此類系統使新型機器中的錯誤友好行為模式成為可能。 他們首先在錯誤操作時警告用戶,只有在這是避免事故的唯一方法時才關閉機器。 事故分析表明,該領域存在減少事故的巨大潛力(Reinert 和 Reuss 1991)。
混合自動化系統 (HAS) 旨在將人工智能機器(基於計算機技術)的能力與在工作活動過程中與這些機器交互的人員的能力相集成。 HAS 利用率的主要關注點涉及應如何設計人機子系統以充分利用混合系統兩部分的知識和技能,以及人類操作員和機器組件應如何相互交互以確保它們的功能相互補充。 許多混合自動化系統已經發展成為基於現代信息和控制的方法的應用產品,以自動化和集成通常複雜的技術系統的不同功能。 HAS 最初被確定為基於計算機的系統的引入,該系統用於核動力反應堆、化學加工廠和離散零件製造技術的實時控制系統的設計和操作。 HAS現在也可以在許多服務行業中找到,例如民航領域的空中交通管制和飛機導航程序,以及道路交通中智能車輛和高速公路導航系統的設計和使用。
隨著基於計算機的自動化的不斷進步,現代技術系統中人類任務的性質從需要感知運動技能的任務轉變為需要認知活動的任務,這些活動是解決問題、系統監控中的決策制定以及監督控制任務。 例如,計算機集成製造系統中的人類操作員主要充當系統監控器、問題解決者和決策者。 在任何 HAS 環境中,人類主管的認知活動是 (1) 計劃在給定時間段內應該做什麼,(2) 設計程序(或步驟)以實現既定目標集,(3) 監控進度(技術)過程,(4)通過人機交互的計算機“教導”系統,(5)如果系統行為異常或控制優先級發生變化,則進行干預,以及(6)通過系統的反饋學習監督行動(Sheridan 1987)。
混合系統設計
HAS 中的人機交互涉及利用人類操作員和智能機器之間的動態通信迴路——一個包括信息感知和處理以及控制任務和決策制定的啟動和執行的過程——在給定的功能分配結構內人類和機器。 至少,人與自動化之間的交互應反映混合自動化系統的高度複雜性,以及人類操作員和任務要求的相關特徵。 因此,混合自動化系統可以正式定義為以下公式中的五元組:
有= (T、U、C、E、I)
哪裡 T = 任務要求(身體和認知); U = 用戶特徵(身體和認知); C = 自動化特性(硬件和軟件,包括計算機接口); E = 系統環境; I = 上述元素之間的一組相互作用。
交互集合 I 體現了所有可能的相互作用 T, U C in E 無論其性質或關聯強度如何。 例如,其中一種可能的交互可能涉及存儲在計算機內存中的數據與人類操作員的相應知識(如果有的話)之間的關係。 相互作用 I 可以是基本的(即僅限於一對一的關聯)或複雜的,例如涉及人類操作員、用於實現所需任務的特定軟件以及與計算機的可用物理接口之間的交互。
許多混合自動化系統的設計者主要關注作為基於計算機技術的一部分的複雜機器和其他設備的計算機輔助集成,很少關注在此類系統中有效的人為集成的最重要需求。 因此,目前,許多計算機集成(技術)系統與人類操作員的固有能力不完全兼容,這些能力由有效控制和監視這些系統所需的技能和知識所表達。 這種不兼容性出現在人、機器和人機功能的各個層面,並且可以在個人和整個組織或設施的框架內定義。 例如,先進製造企業的人與技術整合問題,早在HAS設計階段就出現了。 這些問題可以使用以下交互複雜性的系統集成模型來概念化, I, 在系統設計者之間, D, 人工操作員, H,或潛在的系統用戶和技術, T:
我 (H, T) = F [ 我 (H, D), 我 (D, T)]
哪裡 I 代表在給定的 HAS 結構中發生的相關相互作用,而 F 表示設計師、操作員和技術之間的功能關係。
上述系統集成模型強調了這樣一個事實,即用戶和技術之間的交互是由兩個早期交互的集成結果決定的——即 (1) HAS 設計者和潛在用戶之間的交互,以及 (2) 設計者之間的交互和 HAS 技術(在機器及其集成級別)。 應該注意的是,儘管設計師和技術之間通常存在強烈的互動,但在設計師和操作員之間同樣強烈的相互關係的例子卻很少見。
可以說,即使在自動化程度最高的系統中,人的角色對於在操作層面成功實現系統性能仍然至關重要。 Bainbridge (1983) 確定了一系列與 HAS 操作相關的問題,這些問題是由於自動化本身的性質造成的,如下所示:
任務分配
HAS 設計的重要問題之一是確定應將多少功能或職責分配給人類操作員,以及將哪些功能或職責分配給計算機。 通常,應考慮三類基本的任務分配問題:(1) 人類監督員-計算機任務分配,(2) 人類-人類任務分配和 (3) 監督計算機-計算機任務分配。 理想情況下,分配決策應該在基本系統設計開始之前通過一些結構化的分配程序做出。 不幸的是,這樣一個系統化過程幾乎不可能,因為要分配的功能可能需要進一步檢查,或者必須在人機系統組件之間交互執行——也就是說,通過應用監督控制範例。 混合自動化系統中的任務分配應側重於人類和計算機監督責任的範圍,並應考慮人類操作員與計算機化決策支持系統之間交互的性質。 還應考慮機器與人類輸入輸出接口之間的信息傳遞方式以及軟件與人類認知問題解決能力的兼容性。
在混合自動化系統的設計和管理的傳統方法中,工人被認為是確定性的輸入輸出系統,並且傾向於忽視人類行為的目的論性質——即依賴於獲得的目標導向行為相關信息和目標選擇 (Goodstein et al. 1988)。 為了取得成功,高級混合自動化系統的設計和管理必須基於對特定任務所需的人類心理功能的描述。 “認知工程”方法(下文進一步描述)提出需要根據人類心理過程來構思、設計、分析和評估人機(混合)系統(即,自適應系統的操作者心理模型被納入帳戶)。 以下是 Corbett (1988) 制定的以人為本的 HAS 設計和操作方法的要求:
認知人因工程
認知人因工程側重於人類操作員如何在工作場所做出決策、解決問題、制定計劃和學習新技能(Hollnagel 和 Woods 1983)。 可以使用 Rasmussen 的方案 (1983) 將在任何 HAS 中發揮作用的人工操作員的角色分為三大類:
在 HAS 的設計和管理中,應考慮工作者的認知特徵,以確保系統操作與描述其功能的工作者內部模型的兼容性。 因此,系統的描述級別應該從基於技能的人類功能方面轉移到基於規則和知識的人類功能方面,並且應該使用適當的認知任務分析方法來識別系統的操作員模型。 HAS 開發中的一個相關問題是在物理和認知層面上設計人類操作員和自動化系統組件之間的信息傳輸方式。 這種信息傳輸應該與在不同級別的系統操作中使用的信息模式兼容,即視覺、口頭、觸覺或混合。 這種信息兼容性確保不同形式的信息傳輸將要求介質與信息性質之間的不兼容性最小。 例如,視覺顯示最適合傳輸空間信息,而聽覺輸入可用於傳達文本信息。
人類操作員經常根據他或她的經驗、培訓和與給定類型的人機界面相關的說明開發描述系統操作和功能的內部模型。 鑑於這一現實,HAS 的設計者應該嘗試在機器(或其他人工系統)中構建一個人類操作員的身體和認知特徵的模型,即操作員的系統形象(Hollnagel 和 Woods 1983) . HAS 的設計者還必須考慮系統描述中的抽象級別以及人類操作員行為的各種相關類別。 這些用於在工作環境中模擬人類功能的抽象級別如下(Rasmussen 1983):(1)物理形式(解剖結構),(2)物理功能(生理功能),(3)廣義功能(心理機制和認知和情感過程),(4)抽像功能(信息處理)和(5)功能目的(價值結構、神話、宗教、人類互動)。 設計人員必須同時考慮這五個級別,以確保有效的 HAS 性能。
系統軟件設計
由於計算機軟件是任何 HAS 環境的主要組成部分,因此在 HAS 開發的早期階段也必須考慮軟件開發,包括設計、測試、操作和修改,以及軟件可靠性問題。 通過這種方式,應該能夠降低軟件錯誤檢測和消除的成本。 然而,由於我們模擬人工任務性能、相關工作量和潛在錯誤的能力有限,因此很難估計 HAS 人工組件的可靠性。 過多或不足的腦力工作量可能分別導致信息過載和無聊,並可能導致人的績效下降,從而導致錯誤和事故發生的可能性增加。 HAS 的設計者應該採用自適應接口,利用人工智能技術來解決這些問題。 除了人機兼容性之外,還必須考慮人機相互適應的問題,以減少人的能力可能被超越時的壓力水平。
由於許多混合自動化系統的高度複雜性,識別與這些系統的硬件、軟件、操作程序和人機交互相關的任何潛在危險對於旨在減少傷害和設備損壞的努力取得成功至關重要. 與復雜的混合自動化系統相關的安全和健康危害,例如計算機集成製造技術 (CIM),顯然是系統設計和操作的最關鍵方面之一。
系統安全問題
混合自動化環境在系統干擾條件下具有控制軟件不穩定行為的巨大潛力,會產生新一代的事故風險。 隨著混合自動化系統變得更加通用和復雜,系統干擾(包括啟動和關閉問題以及系統控制中的偏差)會顯著增加對人類操作員造成嚴重危險的可能性。 具有諷刺意味的是,在許多異常情況下,操作員通常依賴於自動安全子系統的正常運行,這種做法可能會增加嚴重傷害的風險。 例如,一項與技術控制系統故障相關的事故研究表明,大約三分之一的事故序列包括人為乾預受干擾系統的控制迴路。
由於傳統的安全措施不能輕易適應 HAS 環境的需要,因此需要根據這些系統的固有特性重新考慮傷害控制和事故預防策略。 例如,在先進製造技術領域,許多過程的特點是存在大量的能量流,人類操作員無法輕易預測到這些能量流。 此外,安全問題通常出現在子系統之間的接口處,或者當系統干擾從一個子系統發展到另一個子系統時。 根據國際標準化組織 (ISO 1991),工業自動化帶來的危害相關風險因特定製造系統中的工業機器類型以及系統的安裝、編程、操作和維護方式而異並修好。 例如,瑞典的機器人相關事故與其他類型事故的比較表明,機器人可能是先進製造業中使用的最危險的工業機器。 工業機器人的估計事故率為每 45 個機器人年發生一次嚴重事故,高於工業壓力機的事故率,據報導為每 50 個機器年發生一次事故。 此處應注意,在 23 年至 1980 年期間,美國的工業壓力機約佔所有金屬加工機械相關死亡人數的 1985%,其中動力壓力機在非致命傷害的嚴重頻率乘積方面排名第一。
在先進製造技術領域,有許多運動部件在人類操作員的視野之外以復雜的方式改變位置,對工人造成危險。 計算機集成製造技術的快速發展催生了研究先進製造技術對工人影響的迫切需要。 為了識別這種 HAS 環境的各種組成部分造成的危害,需要仔細分析過去的事故。 不幸的是,涉及機器人使用的事故很難從人為操作的機器相關事故的報告中分離出來,因此,未記錄事故的比例可能很高。 日本的職業健康和安全規則指出,“工業機器人目前沒有可靠的安全手段,除非對它們的使用進行規範,否則無法保護工人免受它們的傷害”。 例如,日本勞動省(Sugimoto 1987)對 190 家被調查工廠(4,341 台工作機器人)的工業機器人相關事故進行的調查結果顯示,有 300 起與機器人有關的騷亂,其中 37 起不安全行為造成的險情9起,傷亡事故2起。 其他研究的結果表明,基於計算機的自動化不一定會提高整體安全水平,因為系統硬件不能僅通過計算機軟件中的安全功能實現故障安全,而且系統控制器並不總是高度可靠的。 此外,在復雜的 HAS 中,不能完全依賴安全傳感設備來檢測危險情況並採取適當的危險規避策略。
自動化對人類健康的影響
如上所述,許多 HAS 環境中的工人活動基本上是監督控制、監視、系統支持和維護。 這些活動也可以分為以下四個基本組:(1) 編程任務,即對指導和指導機器操作的信息進行編碼,(2) 監控 HAS 生產和控制組件,(3) 維護 HAS 組件以防止或減輕機器故障,以及 (4) 執行各種支持任務等。最近許多關於 HAS 對工人福祉影響的評論得出的結論是,儘管在製造區域使用 HAS 可以消除繁重和危險的任務,在 HAS 環境中工作可能會讓工人感到不滿和壓力。 壓力來源包括許多 HAS 應用程序所需的持續監控、分配活動的有限範圍、系統設計允許的低水平工人互動,以及與設備不可預測和不可控制的性質相關的安全隱患。 儘管一些參與編程和維護活動的工人感受到挑戰的因素,這可能對他們的幸福產生積極影響,但這些影響往往被這些活動的複雜性和要求性以及壓力所抵消管理層施加壓力以快速完成這些活動。
儘管在某些 HAS 環境中,人類操作員在正常操作條件下遠離傳統能源(機器的工作流和運動),但自動化系統中的許多任務仍然需要與其他能源直接接觸來執行。 由於不同 HAS 組件的數量不斷增加,必須特別強調工人的舒適性和安全性以及製定有效的傷害控制措施,特別是考慮到工人不再能夠跟上此類系統的精密性和復雜性。
為了滿足當前在計算機集成製造系統中對傷害控制和工人安全的需求,ISO 工業自動化系統委員會提出了名為“集成製造系統安全”(1991) 的新安全標準。 這項新的國際標準是為了認識到集成工業機器和相關設備的集成製造系統中存在的特殊危險而製定的,旨在最大限度地減少人員在集成製造系統上或附近工作時受傷的可能性。 本標準確定的 CIM 中對操作人員潛在危害的主要來源如圖 1 所示。
圖 1. 計算機集成製造 (CIM) 中的主要危害源(根據 ISO 1991)
人為和系統錯誤
一般來說,HAS 中的危險可能來自系統本身、它與物理環境中存在的其他設備的關聯,或者來自人員與系統的交互。 事故只是危險條件下可能出現的人機交互的幾種結果之一; 附近事故和損壞事件更為常見(Zimolong 和 Duda 1992)。 錯誤的發生可能導致以下後果之一:(1) 錯誤未被注意到,(2) 系統可以補償錯誤,(3) 錯誤導致機器故障和/或系統停止,或 (4 ) 錯誤導致事故。
由於並非導致重大事件的每個人為錯誤都會導致實際事故,因此進一步區分結果類別如下是適當的:(1) 不安全事件(即任何意外事件,無論它是否導致傷害、損壞或損失),(2) 事故(即導致傷害、損壞或損失的不安全事件),(3) 損壞事件(即僅導致某種物質損壞的不安全事件),(4)未遂事故或“險些發生”(即意外地以微弱優勢避免了傷害、損害或損失的不安全事件)和 (5) 存在事故隱患(即可能導致傷害、損害的不安全事件, 或損失, 但由於情況的原因, 甚至沒有導致事故)。
可以區分 HAS 中三種基本類型的人為錯誤:
這種由 Reason (1990) 設計的分類法是基於對上述 Rasmussen 的技能-規則-知識的人類績效分類的修改。 在基於技能的層面上,人類的表現取決於存儲的預編程指令模式,這些指令表示為時空域中的模擬結構。 基於規則的級別適用於解決熟悉的問題,其中解決方案由存儲的規則(稱為“生產”,因為它們是按需要訪問或生產的)管理的。 這些規則要求做出某些診斷(或判斷),或採取某些補救措施,前提是出現了需要適當響應的某些情況。 在這個層面上,人為錯誤通常與情況的錯誤分類有關,導致錯誤規則的應用或對後續判斷或程序的不正確回憶。 基於知識的錯誤發生在必須使用有意識的分析過程和存儲的知識“在線”(在給定時刻)計劃行動的新情況中。 此級別的錯誤源於資源限制和不完整或不正確的知識。
Reason (1990) 提出的通用錯誤建模系統 (GEMS) 試圖定位基本人為錯誤類型的起源,可用於推導 HAS 中人類行為的總體分類。 GEMS 尋求整合錯誤研究的兩個不同領域:(1) 失誤和失誤,其中由於執行失敗和/或存儲失敗導致行為偏離當前意圖,以及 (2) 錯誤,其中行為可能按計劃運行,但該計劃不足以實現其預期結果。
CIM 中的風險評估和預防
根據 ISO (1991),應在 CIM 中進行風險評估,以盡量減少所有風險,並作為確定安全目標和製定計劃或計劃的基礎,以創造安全的工作環境並確保以及人員的安全和健康。 例如,基於製造的 HAS 環境中的工作危險可表徵如下:(1) 操作人員在干擾恢復、服務和維護任務期間可能需要進入危險區域,(2) 危險區域難以確定,感知和控制,(3)工作可能是單調的,(4)計算機集成製造系統中發生的事故往往很嚴重。 應評估每個已識別的危險的風險,並應確定和實施適當的安全措施以將風險降至最低。 還應確定任何給定過程的以下所有方面的危害:單個單元本身; 單個單元之間的交互; 系統的操作部分; 以及整個系統在所有預期操作模式和條件下的操作,包括正常安全措施因編程、驗證、故障排除、維護或修理等操作而暫停的條件。
CIM 的 ISO (1991) 安全策略的設計階段包括:
系統安全規範應包括:
根據 ISO (1991),在系統安全規劃程序的設計中需要考慮確保 CIM 系統安全運行的所有必要要求。 這包括所有有效減少危害的保護措施,並要求:
安全規劃程序應解決以下 CIM 安全問題:
系統干擾控制
在計算機集成製造領域中使用的許多 HAS 安裝中,通常需要人工操作員來執行控制、編程、維護、預設、維修或故障排除任務。 系統中的干擾導致工人必須進入危險區域的情況。 在這方面,可以假設干擾仍然是 CIM 中人為乾擾的最重要原因,因為系統通常是從限制區域之外進行編程的。 CIM 安全最重要的問題之一是防止干擾,因為大多數風險發生在系統的故障排除階段。 就安全性和成本效益而言,避免干擾是共同的目標。
CIM 系統中的干擾是偏離計劃或期望狀態的系統狀態或功能。 除了生產力之外,CIM 運行期間的干擾還會直接影響系統運行人員的安全。 芬蘭的一項研究(Kuivanen 1990)表明,自動化製造中大約一半的干擾會降低工人的安全。 干擾的主要原因是系統設計錯誤(34%)、系統組件故障(31%)、人為錯誤(20%)和外部因素(15%)。 大多數機器故障是由控制系統引起的,而在控制系統中,大多數故障發生在傳感器上。 提高 CIM 裝置安全級別的有效方法是減少干擾次數。 儘管受干擾系統中的人為行為防止了 HAS 環境中事故的發生,但他們也助長了事故。 例如,一項與技術控制系統故障相關的事故研究表明,大約三分之一的事故序列包括人為乾預受干擾系統的控制迴路。
CIM干擾預防的主要研究問題涉及(1)干擾的主要原因,(2)不可靠的組件和功能,(3)干擾對安全的影響,(4)干擾對系統功能的影響,( 5) 材料損壞和 (6) 修理。 HAS 的安全性應在系統設計階段儘早規劃,適當考慮技術、人員和組織,並成為整個 HAS 技術規劃過程的組成部分。
HAS 設計:未來的挑戰
為確保上述混合自動化系統的最大優勢,需要更廣闊的系統開發願景,即基於人員、組織和技術集成的願景。 此處應應用三種主要類型的系統集成:
混合自動化系統的最低設計要求應包括以下內容:(1) 靈活性,(2) 動態適應性,(3) 改進的響應能力,以及 (4) 激勵人們並更好地利用他們的技能、判斷力和經驗的需要. 上述還要求開發 HAS 組織結構、工作實踐和技術,以允許系統各個級別的人員調整他們的工作策略以適應各種系統控制情況。 因此,HAS 的組織、工作實踐和技術必須作為開放系統進行設計和開發(Kidd 1994)。
開放式混合自動化系統 (OHAS) 是一種從其環境接收輸入並將輸出發送到其環境的系統。 開放系統的思想不僅可以應用於系統架構和組織結構,還可以應用於工作實踐、人機界面以及人與技術之間的關係:例如,可以提到調度系統、控制系統和決策支持系統。 當一個開放系統允許人們有很大的自由度來定義操作系統的模式時,它也是一個自適應系統。 例如,在先進製造領域,開放式混合自動化系統的需求可以通過以下概念實現 人機一體化製造 (HCIM)。 在這種觀點下,技術設計應解決整體 HCIM 系統架構,包括以下內容:(1)組網絡的考慮,(2)每個組的結構,(3)組之間的交互,(4)支撐軟件的性質和(5)支撐軟件模塊之間的技術交流和集成需求。
與封閉系統相反,自適應混合自動化系統不限制人工操作員可以做什麼。 HAS 設計者的角色是創建一個系統,該系統將滿足用戶的個人喜好並允許其用戶以他們認為最合適的方式工作。 允許用戶輸入的先決條件是開發適應性設計方法——即允許在設計過程中實施啟用的、計算機支持的技術的 OHAS。 開發適應性設計方法的需要是在實踐中實現 OHAS 概念的直接要求之一。 還需要開發新水平的自適應人類監督控制技術。 這種技術應該允許人類操作員“看透”原本看不見的 HAS 控制系統的功能——例如,通過在系統控制和操作的每個點應用交互式高速視頻系統。 最後,還非常需要一種用於在混合自動化系統中開發智能和高度適應性、基於計算機的人類角色和人類功能支持的方法。
人們普遍認為控制系統在使用過程中必須是安全的。 考慮到這一點,大多數現代控制系統的設計如圖 1 所示。
圖 1. 控制系統的一般設計
使控制系統安全的最簡單方法是在其周圍建造一堵堅不可摧的牆,以防止人員進入或乾擾危險區域。 這樣的系統將非常安全,儘管不切實際,因為不可能獲得訪問權限以執行大多數測試、維修和調整工作。 因為在某些條件下必須允許進入危險區域,所以需要除牆壁、柵欄等之外的保護措施來促進生產、安裝、維修和維護。
其中一些保護措施可以部分或全部集成到控制系統中,如下所示:
這些類型的保護措施由操作員激活。 然而,由於人類通常是應用程序中的弱點,因此許多功能(例如以下)都是自動執行的:
控制系統的正常運行是生產最重要的前提。 如果生產功能因控制故障而中斷,那至多是不便但不會造成危險。 如果不執行與安全相關的功能,可能會導致生產損失、設備損壞、人身傷害甚至死亡。 因此,與安全相關的控制系統功能必須比普通控制系統功能更可靠、更安全。 根據歐洲委員會指令 89/392/EEC(機器指南),控制系統的設計和構造必須安全可靠。
控件由許多連接在一起的組件組成,以執行一項或多項功能。 控件被細分為通道。 通道是執行特定功能(例如,啟動、停止、緊急停止)的控件的一部分。 從物理上講,通道是由一串組件(晶體管、二極管、繼電器、門等)創建的,通過這些組件,從一個組件到下一個組件,代表該功能的(主要是電氣)信息從輸入傳輸到輸出。
在為安全相關功能(涉及人的功能)設計控制通道時,必須滿足以下要求:
可靠性
可靠性 是控制通道或組件在給定時間段的指定條件下執行所需功能的能力 沒有失敗. (可以使用合適的方法計算特定組件或控制通道的概率。)必須始終為特定時間值指定可靠性。 通常,可靠性可以用圖2中的公式表示。
圖 2. 可靠性公式
複雜系統的可靠性
系統是由組件構建的。 如果已知組件的可靠性,則可以計算整個系統的可靠性。 在這種情況下,以下適用:
串行系統
總可靠性 R合計 由具有相同可靠性 R 的 N 個組件組成的串聯繫統C 計算如圖 3 所示。
圖 3. 串聯組件的可靠性圖
總可靠性低於最不可靠組件的可靠性。 隨著串聯組件數量的增加,鏈條的總可靠性會顯著下降。
並行系統
總可靠性 R合計 由具有相同可靠性 R 的 N 個組件組成的並聯繫統C 計算如圖 4 所示。
圖 4. 並聯組件的可靠性圖
通過並聯兩個或多個組件可以顯著提高總體可靠性。
圖 5 說明了一個實際示例。 請注意,電路將更可靠地關閉電機。 即使繼電器 A 或 B 未能打開其觸點,電機仍會關閉。
圖 5. 圖 4 的實際示例
如果所有必要的組件可靠性已知且可用,則計算通道的總可靠性很簡單。 對於復雜組件(集成電路、微處理器等),如果製造商未發布必要信息,則總可靠性的計算是困難的或不可能的。
安全指引
當專業人士談論安全並呼籲安全機器時,他們指的是整個機器或系統的安全。 然而,這種安全性過於籠統,並且對於控制設計者而言定義不夠精確。 下面的定義 安全 對控制電路的設計者可能是實用的和有用的:安全是控制系統在規定的限制內,在給定的持續時間內執行所需功能的能力,即使發生預期的故障。 因此,在設計過程中必須明確安全相關通道必須有多“安全”。 (設計者可以開發一個安全的通道,防止第一次故障、任何一次故障、兩次故障等。)此外,執行用於防止事故的功能的通道可能本質上是可靠的,但它沒有不可避免地避免失敗。 以下示例可以最好地解釋這一點:
例如1
圖 6 中所示的示例是執行所需安全功能的安全相關控制通道。 第一個組件可以是一個開關,用於監控例如通往危險區域的通道門的位置。 最後一個組件是電機,它驅動危險區域內的移動機械部件。
圖 6. 執行所需安全功能的安全相關控制通道
在這種情況下所需的安全功能是雙重的:如果門關閉,電機可能會運行。 如果門打開,則必須關閉電機。 了解可靠性 R1 到R6, 可以計算可靠性 R早期的。 設計者應該使用可靠的組件,以保持整個控制系統足夠高的可靠性(即,在設計中應該考慮到即使在 20 年內該功能仍然可以執行的可能性)。 因此,設計人員必須完成兩項任務:(1) 電路必須執行所需的功能,以及 (2) 組件和整個控制通道的可靠性必須足夠。
現在應該問以下問題:即使系統發生故障(例如,如果繼電器觸點粘住或組件發生故障),上述通道是否會執行所需的安全功能? 答案是不”。 原因是僅由串聯連接的組件組成並使用靜態信號的單個控制通道對於一次故障是不安全的。 通道只能具有一定的可靠性,這保證了功能被執行的可能性。 在這種情況下,安全始終意味著 故障相關.
例如2
如果控制通道既可靠又安全,則必須如圖 7 所示修改設計。所示示例是一個安全相關的控制通道,由兩個完全獨立的子通道組成。
圖 7. 具有兩個完全獨立子通道的安全相關控制通道
這種設計對於第一次故障(以及同一子通道中可能的進一步故障)是安全的,但對於可能發生在兩個不同子通道中(同時或不同時間)的兩次故障是不安全的,因為沒有故障檢測電路。 因此,最初兩個子通道都以高可靠性工作(參見並行系統),但在第一次故障後只有一個子通道將工作,可靠性降低。 如果在仍在工作的子通道中發生第二次故障,則兩者都將失效,並且將不再執行安全功能。
例如3
圖 8 中所示的示例是一個安全相關的控制通道,由兩個完全獨立的子通道組成,它們相互監控。
圖 8. 一個安全相關的控制通道,帶有兩個相互監控的完全獨立的子通道
這種設計是故障安全的,因為在發生任何故障後,只有一個子通道將不起作用,而另一個子通道仍然可用並將執行安全功能。 此外,該設計具有故障檢測電路。 如果由於故障,兩個子通道無法以相同方式工作,則“異或”電路將檢測到這種情況,結果機器將自動關閉。 這是設計機器控制的最佳方法之一——設計與安全相關的子通道。 它們對一次故障是安全的,同時提供足夠的可靠性,因此同時發生兩次故障的可能性微乎其微。
冗餘
顯然,設計者可以通過多種方法提高可靠性和/或安全性(防止故障)。 前面的示例說明瞭如何通過各種解決方案實現功能(即,門關閉,電機可以運行;門打開,電機必須停止)。 有些方法非常簡單(一個子通道),而另一些方法則比較複雜(兩個相互監督的子通道)。 (見圖 9。)
圖 9. 有或沒有故障檢測的冗餘系統的可靠性
與簡單電路和/或組件相比,複雜電路和/或組件存在一定的冗餘。 冗餘 可以定義如下: (1) 冗餘是指存在比簡單實現所需功能所需的更多的手段(組件、通道、更高的安全係數、額外的測試等); (2) 冗餘顯然不會“改善”功能,無論如何都會執行。 冗餘隻會提高可靠性和/或安全性。
一些安全專業人士認為,冗餘隻是系統的兩倍或三倍等。 這是一個非常有限的解釋,因為冗餘可以被更廣泛和靈活地解釋。 冗餘可能不僅包含在硬件中; 它也可能包含在軟件中。 提高安全係數(例如,更強的繩索而不是更弱的繩索)也可以被視為一種冗餘形式。
熵
熵,一個主要出現在熱力學和天文學中的術語,可以定義如下:一切都傾向於衰變。 因此,可以肯定的是,無論使用何種技術,所有組件、子系統或系統總有一天會出現故障。 這意味著沒有 100% 可靠和/或安全的系統、子系統或組件。 根據結構的複雜性,所有這些都或多或少是可靠和安全的。 不可避免地較早或較晚發生的故障證明了熵的作用。
設計人員應對熵的唯一方法是冗餘,這是通過 (a) 為組件引入更多可靠性和 (b) 在整個電路架構中提供更多安全性來實現的。 只有充分提高所需功能在所需時間段內執行的概率,設計人員才能在某種程度上抵禦熵。
風險評估
潛在風險越大,所需的可靠性和/或安全性(針對故障)就越高(反之亦然)。 以下兩個案例說明了這一點:
案例1
固定在註塑機中的模具由門保護。 如果門關閉,機器可以工作,如果門打開,所有危險動作都必須停止。 在任何情況下(即使在安全相關通道發生故障的情況下)都不得發生任何運動,尤其是那些操作工具的運動。
案例2
在氣動壓力下組裝小型塑料部件的自動控制裝配線的入口由一扇門保護。 如果打開這扇門,就必須停止生產線。
情況1,如果門監控系統發生故障,工具意外關閉,可能會造成嚴重傷害。 在情況2中,如果門監控系統發生故障,則可能造成輕微傷害或輕微傷害。
很明顯,在第一種情況下,必須引入更多的冗餘以獲得防止極端高風險所需的可靠性和/或安全性(防止故障)。 事實上,根據歐洲標準EN 201,注塑機門的監控系統必須具有三個通道; 其中兩個是電氣的,相互監督,其中一個主要配備液壓系統和測試電路。 所有這三個監督功能都與同一扇門有關。
相反,在案例 2 中描述的應用程序中,由具有正向動作的開關激活的單個通道適合於風險。
控制類別
由於上述所有考慮通常都基於信息論,因此適用於所有技術,因此控制系統是否基於電子、機電、機械、液壓或氣動組件(或它們的混合)並不重要,或其他一些技術。 一方面是設計師的創造力,另一方面是經濟問題,是影響關於如何實現安全相關通道的幾乎無數解決方案的主要因素。
為防止混淆,設置某些排序標準是實用的。 用於執行安全相關功能的機器控制中最典型的通道結構分類如下:
表 1. 機器控制中用於安全相關功能的一些可能的電路結構組合
標準(問題) |
基本攻略 |
|||||
通過提高可靠性(故障的發生是否轉移到可能遙遠的未來?) |
通過合適的電路結構(架構),故障將至少被檢測到(類別 2)或故障對通道的影響將被消除(類別 3)或故障將被立即披露(類別 4) |
|||||
分類 |
||||||
這個解決方案基本上是錯誤的 |
B |
1 |
2 |
3 |
4 |
|
電路元件能否承受預期的影響; 它們是根據最先進的技術建造的嗎? |
沒有 |
Permium Partner |
Permium Partner |
Permium Partner |
Permium Partner |
Permium Partner |
是否使用了久經考驗的組件和/或方法? |
沒有 |
沒有 |
Permium Partner |
Permium Partner |
Permium Partner |
Permium Partner |
能否自動檢測故障? |
沒有 |
沒有 |
沒有 |
Permium Partner |
Permium Partner |
Permium Partner |
故障是否會阻止安全相關功能的執行? |
Permium Partner |
Permium Partner |
Permium Partner |
Permium Partner |
沒有 |
沒有 |
何時會檢測到故障? |
決不 |
決不 |
決不 |
早(最遲在不長於一個機器週期的區間結束時) |
立即(當信號失去動態 |
|
在消費品中 |
用於機器 |
適用於特定機器及其安全相關控制系統的類別大多在新的歐洲標準 (EN) 中指定,除非國家當局、用戶和製造商相互同意應適用另一個類別。 然後,設計人員開發了一個滿足要求的控制系統。 例如,管理控制通道設計的考慮因素可能包括以下內容:
這個過程是可逆的。 使用相同的問題,可以確定現有的、以前開發的控制通道屬於哪一類。
類別示例
B類
主要用於消費品的控制通道組件必須能夠承受預期的影響,並根據最先進的技術進行設計。 一個設計良好的開關可以作為一個例子。
八類佈線系統
使用久經考驗的組件和方法是類別 1 的典型做法。類別 1 的示例是具有正向動作的開關(即,需要強制打開觸點)。 該開關採用堅固的部件設計,由相對較大的力啟動,因此僅在觸點斷開時才具有極高的可靠性。 儘管觸點粘連甚至焊接,這些開關仍會打開。 (注意:晶體管和二極管等元件不被視為經過充分試驗的元件。)圖 10 將用作類別 1 控制的圖示。
圖 10. 具有正向動作的開關
該通道採用正動作開關S。 接觸器 K 由指示燈 L 監控。操作員通過指示燈 L 提示常開 (NO) 觸點粘住。接觸器 K 具有強制導向觸點。 (注意:與通常的繼電器或接觸器相比,具有強制引導觸點的繼電器或接觸器具有由絕緣材料製成的特殊籠子,因此如果常閉(NC)觸點閉合,則必須打開所有 NO 觸點,反之反之亦然。這意味著通過使用 NC 觸點,可以進行檢查以確定工作觸點沒有粘在一起或焊接在一起。)
八類佈線系統
類別 2 提供故障的自動檢測。 必須在每次危險動作之前生成自動故障檢測。 只有在測試呈陽性時才能進行運動; 否則機器將停止。 自動故障檢測系統用於光柵以證明它們仍在工作。 原理如圖 1 所示。
圖 11. 包含故障檢測器的電路
通過向輸入註入脈衝來定期(或偶爾)測試該控制系統。 在一個正常工作的系統中,這個脈衝將被傳輸到輸出並與來自測試發生器的脈衝進行比較。 當兩種衝動都存在時,系統顯然有效。 否則,如果沒有輸出脈衝,系統就失敗了。
八類佈線系統
之前已在本文安全部分的示例 3 下描述了電路,圖 8。
要求——即自動故障檢測和執行安全功能的能力,即使在任何地方發生一個故障——可以通過雙通道控制結構和兩個通道的相互監督來實現。
僅對於機器控制,必須調查危險故障。 需要注意的是有兩種故障:
八類佈線系統
類別 4 通常用於在輸入端應用動態、連續變化的信號。 輸出裝置上存在動態信號 運行 (“1”),並且沒有動態信號意味著 停止 (“0”)。
對於此類電路,通常在任何組件出現故障後,動態信號將不再在輸出端可用。 (注意:輸出端的靜態電位無關緊要。)此類電路可稱為“故障安全”。 所有故障將立即披露,而不是在第一次更改後(如第 3 類電路)。
關於控制類別的進一步評論
表 1 是為常用機器控制開發的,僅顯示基本電路結構; 根據機器指令,應該在一個機器週期內只發生一次故障的假設下進行計算。 這就是為什麼在兩個同時發生故障的情況下不必執行安全功能的原因。 假定將在一個機器週期內檢測到故障。 機器將停止,然後進行維修。 然後控制系統再次啟動,完全可操作,沒有故障。
設計者的第一個意圖應該是不允許出現“常設”故障,這些故障在一個週期內不會被檢測到,因為它們以後可能會與新出現的故障(故障累積)結合在一起。 這種組合(持續故障和新故障)甚至會導致 3 類電路發生故障。
儘管採用了這些策略,但有可能在同一機器週期內同時發生兩個獨立的故障。 這是非常不可能的,特別是如果使用了高度可靠的組件。 對於非常高風險的應用程序,應使用三個或更多子通道。 這種理念基於這樣一個事實,即平均故障間隔時間比機器週期長得多。
然而,這並不意味著該表不能進一步擴展。 表 1 基本上和結構上與 EN 2-954 中使用的表 1 非常相似。 但是,它不會嘗試包含太多排序標準。 這些要求是根據嚴格的邏輯法則定義的,因此只能得到明確的答案(是或否)。 這允許對提交的電路(安全相關通道)進行更準確的評估、分類和分類,最後但並非最不重要的一點是,顯著提高評估的可重複性。
如果風險可以分為不同的風險級別,然後在風險級別和類別之間建立明確的聯繫,這將是理想的,而這一切都與所使用的技術無關。 然而,這並非完全可能。 在創建類別後的早期,很明顯即使使用相同的技術,也無法充分回答各種問題。 哪個更好:非常可靠且設計良好的第 1 類組件,還是滿足第 3 類要求但可靠性較差的系統?
要解釋這一困境,必須區分兩種品質:可靠性和安全性(防止故障)。 它們沒有可比性,因為這兩種品質具有不同的特徵:
考慮到上述情況,最好的解決方案(從高風險的角度來看)可能是使用高度可靠的組件並對其進行配置,以便電路能夠安全應對至少一次(最好是多次)故障。 很明顯,這樣的解決方案不是最經濟的。 實際上,優化過程主要是所有這些影響和考慮的結果。
實際使用這些類別的經驗表明,設計一個始終只使用一個類別的控制系統幾乎是不可能的。 兩個甚至三個部分的組合,每個部分屬於不同的類別,是典型的,如以下示例所示:
許多安全光柵設計為 4 類,其中一個通道使用動態信號。 在這個系統的末端通常有兩個相互監督的子通道,它們使用靜態信號。 (這滿足類別 3 的要求。)
根據 EN 50100,此類光柵被歸類為 類型 4 電敏保護裝置, 儘管它們由兩部分組成。 不幸的是,對於如何命名由兩個或多個部分組成的控制系統,每個部分屬於另一個類別,還沒有達成一致。
可編程電子系統 (PES)
用於創建表 1 的原則,當然有一定的限制,通常也適用於 PES。
PES-only系統
在使用 PES 進行控制時,信息通過大量組件從傳感器傳輸到激活器。 除此之外,它甚至“通過”軟件。 (見圖 12)。
圖 12. PES 系統電路
儘管現代 PES 非常可靠,但可靠性沒有處理安全功能所需的那麼高。 除此之外,通常的 PES 系統不夠安全,因為它們在發生故障時不會執行與安全相關的功能。 因此,不允許在沒有任何附加措施的情況下使用 PES 來處理安全功能。
極低風險應用:具有一個 PES 和附加措施的系統
當使用單個 PES 進行控制時,系統由以下主要部分組成:
輸入部分
傳感器的可靠性和 PES 的輸入可以通過將它們加倍來提高。 這樣的雙系統輸入配置可以由軟件進一步監督,以檢查兩個子系統是否正在傳遞相同的信息。 因此可以檢測到輸入部分的故障。 這幾乎與類別 3 所要求的理念相同。但是,由於監督是通過軟件完成的並且只有一次,因此這可能被命名為 3-(或不如 3 可靠)。
中部
這部分雖然不能很好的翻倍,但是可以測試一下。 開機時(或運行期間),可以對整個指令集進行檢查。 在相同的時間間隔內,還可以通過合適的位模式檢查內存。 如果進行此類檢查沒有失敗,則 CPU 和內存這兩個部分顯然工作正常。 中間部分具有第 4 類(動態信號)的某些典型特徵和第 2 類的其他典型特徵(以適當的時間間隔定期進行測試)。 問題是,儘管這些測試範圍廣泛,但它們並不能真正完成,因為 one-PES 系統本身就不允許進行這些測試。
輸出部分
與輸入類似,輸出(包括激活器)也可以加倍。 兩個子系統都可以針對相同的結果進行監督。 將檢測到故障並執行安全功能。 但是,存在與輸入部分相同的弱點。 因此,在這種情況下選擇類別 3。
在圖 13 中,繼電器具有相同的功能 A B. 控制觸點 a b, 然後通知兩個輸入系統兩個繼電器是否在做同樣的工作(除非其中一個通道發生故障)。 監督由軟件再次完成。
圖 13. 帶有故障檢測系統的 PES 電路
整個系統可以被描述為類別 3-/4/2/3- 如果正確和廣泛地完成。 然而,不能完全消除上述系統的弱點。 事實上,改進後的 PES 僅在風險相當低的情況下才用於與安全相關的功能(Hölscher 和 Rader 1984)。
使用一個 PES 的中低風險應用程序
今天幾乎每台機器都配備了 PES 控制單元。 為了解決可靠性不足和通常對故障安全性不足的問題,通常採用以下設計方法:
高風險應用:具有兩個(或更多)PES 的系統
除了複雜性和費用外,沒有其他因素會阻止設計人員使用完全雙倍的 PES 系統,例如 Siemens Simatic S5-115F、3B6 Typ CAR-MIL 等。 這些通常包括兩個具有同質軟件的相同 PES,並假設使用“久經考驗”的 PES 和“久經考驗”的編譯器(一個久經考驗的 PES 或編譯器可以被認為在 3 年或更長時間的許多實際應用中表明系統性故障已明顯消除)。 雖然這些雙PES系統沒有單PES系統的弱點,但這並不意味著雙PES系統可以解決所有問題。 (見圖 17)。
圖 17. 具有兩個 PES 的複雜系統
系統故障
系統故障可能由規格、設計和其他原因中的錯誤引起,並且可能存在於硬件和軟件中。 雙 PES 系統適用於安全相關應用。 這樣的配置允許檢測隨機硬件故障。 通過硬件多樣性,例如使用兩種不同類型或兩個不同製造商的產品,可以揭示系統硬件故障(在兩個 PES 中發生相同硬件系統故障的可能性很小)。
軟體
軟件是安全考慮中的一個新元素。 軟件要么正確要么不正確(關於故障)。 一旦正確,軟件就不會立即變得不正確(與硬件相比)。 目的是消除軟件中的所有錯誤或至少識別它們。
有多種方法可以實現這一目標。 一個是 驗證 程序的錯誤(第二個人試圖在隨後的測試中發現錯誤)。 另一種可能性是 多樣 軟件,其中兩個不同的程序,由兩個程序員編寫,解決同一個問題。 如果結果相同(在一定範圍內),則可以假定兩個程序部分都是正確的。 如果結果不同,則認為存在錯誤。 (注意, 建築 硬件的自然也必須考慮。)
總結
使用 PES 時,通常需要考慮以下相同的基本注意事項(如前幾節所述)。
一個新的因素是,對於具有 PES 的系統,即使是軟件也應該從正確性的角度進行評估。 軟件,如果正確,是 100% 可靠的。 在技術發展的這個階段,最好的和已知的技術解決方案可能不會被使用,因為限制因素仍然是經濟的。 此外,各種專家組正在繼續制定 PES(例如 EC、EWICS)的安全應用標準。 儘管已經有各種標準可用(VDE0801、IEC65A 等),但這個問題是如此廣泛和復雜,以至於沒有一個可以被視為最終標準。
每當簡單和傳統的生產設備(如機床)實現自動化時,都會產生復雜的技術系統和新的危險。 這種自動化是通過在機床上使用計算機數字控制 (CNC) 系統來實現的,稱為 數控機床 (例如,銑床、加工中心、鑽頭和磨床)。 為了能夠識別自動工具中固有的潛在危險,應對每個系統的各種操作模式進行分析。 先前進行的分析表明,應區分兩種類型的操作:正常操作和特殊操作。
通常不可能以具體措施的形式規定數控機床的安全要求。 這可能是因為提供具體解決方案的特定於設備的法規和標準太少。 只有通過進行危害分析系統地識別可能的危害,才能確定安全要求,特別是如果這些複雜的技術系統配備了可自由編程的控制系統(如 CNC 機床)。
對於新開發的 CNC 機床,製造商有義務對設備進行危險分析,以確定可能存在的任何危險,並通過建設性的解決方案表明所有對人身的危險,在所有不同的操作模式,被淘汰。 所有已識別的危害都必須進行風險評估,其中事件的每項風險都取決於損害的範圍和可能發生的頻率。 要評估的危險也被賦予一個風險類別(最小化、正常、增加)。 如果根據風險評估無法接受風險,則必須找到解決方案(安全措施)。 這些解決方案的目的是減少計劃外和潛在危險事件(“事件”)的發生頻率和損害範圍。
在間接和直接安全技術中可以找到解決正常風險和增加風險的方法; 為了將風險降至最低,可以在轉診安全技術中找到它們:
國際安全要求
89 年的 EC 機械指令 (392/1989/EEC) 規定了機器的主要安全和健康要求。 (根據機械指令,一台機器被認為是相互連接的部件或設備的總和,其中至少有一個可以移動並具有相應的功能。)此外,國際標準化機構制定了單獨的標準來說明可能的解決方案(例如,通過關注基本安全方面,或通過檢查安裝在工業機械上的電氣設備)。 這些標準的目的是指定保護目標。 這些國際安全要求為製造商在上述危害分析和風險評估中指定這些要求提供了必要的法律依據。
操作模式
使用機床時,會區分正常操作和特殊操作。 統計數據和調查表明,大多數事件和事故都不是在正常運行中發生的(即,在相關任務的自動完成過程中)。 對於這些類型的機器和裝置,強調特殊的操作模式,例如調試、設置、編程、試運行、檢查、故障排除或維護。 在這些操作模式下,人員通常處於危險區域。 安全概念必須保護人員在這些類型的情況下免受有害事件的影響。
普通手術
以下適用於進行正常操作的自動機器:(1) 機器完成其設計和構造的任務,無需操作員的任何進一步干預,以及 (2) 適用於簡單的車床,這意味著工件被車削成正確的形狀並產生切屑。 如果手動更換工件,則更換工件是一種特殊的操作方式。
特殊操作模式
特殊操作模式是允許正常操作的工作過程。 例如,在這個標題下,可以包括工件或工具更換、生產過程中的故障排除、機器故障排除、設置、編程、試運行、清潔和維護。 在正常操作中,自動系統獨立完成它們的任務。 然而,從工作安全的角度來看,當操作員不得不干預工作過程時,自動正常運行變得至關重要。 在任何情況下,干預此類過程的人員都不得暴露於危險之中。
工作人員
在保護機床時,必須考慮到在各種操作模式下工作的人員以及第三方。 第三方還包括與機器間接相關的人員,例如主管、檢查員、運輸材料和拆卸工作的助理、訪客等。
機械配件要求及安全措施
對特殊操作模式下的工作進行干預意味著必須使用特殊附件才能確保工作能夠安全進行。 這 第一類 配件包括用於乾預自動過程而無需操作員進入危險區域的設備和物品。 這種類型的附件包括 (1) 切屑鉤和夾鉗,其設計可以通過安全防護裝置上提供的孔去除或拉走加工區域的切屑,以及 (2) 工件夾緊裝置,用於生產材料可以手動插入或從自動循環中移除
各種特殊的操作模式——例如,補救工作或維護工作——使得人員干預系統成為必要。 在這些情況下,也有一系列旨在提高工作安全性的機器配件——例如,在磨床上更換重型砂輪時用於搬運重型砂輪的裝置,以及在更換重型砂輪時用於拆卸或安裝重型部件的特殊起重機吊索。機器被檢修。 這些設備是 第二種 用於提高特種作業工作安全性的機器附件。 特殊操作控制系統也可以被認為是代表第二種類型的機器附件。 使用這些附件可以安全地執行特定的活動——例如,當需要在安全防護裝置打開的情況下進行進給運動時,可以在機器軸上安裝一個裝置。
這些特殊的操作控制系統必須滿足特定的安全要求。 例如,他們必須確保只有請求的移動才能按照請求的方式執行,並且只執行請求的時間。 因此,特殊操作控制系統的設計必須能夠防止任何錯誤動作轉變為危險運動或狀態。
提高安裝自動化程度的設備可以被認為是 第三類 用於提高工作安全性的機器配件。 以前手動執行的動作在正常操作中由機器自動完成,例如包括龍門式裝載機在內的設備可以自動更換機床上的工件。 自動正常操作的保障幾乎不會引起問題,因為操作員在事件過程中的干預是不必要的,並且因為安全裝置可以防止可能的干預。
機床自動化的要求和安全措施
不幸的是,自動化並沒有消除生產工廠中的事故。 調查僅顯示事故發生從正常操作轉變為特殊操作,這主要是由於正常操作的自動化,因此不再需要在生產過程中進行干預,人員也因此不再面臨危險。 另一方面,高度自動化的機器是複雜的系統,在發生故障時難以評估。 即使是受雇來糾正故障的專家,也並非總能在不發生事故的情況下這樣做。 操作日益複雜的機器所需的軟件數量在數量和復雜性上都在增加,結果導致越來越多的電氣和調試工程師遭遇事故。 沒有完美無瑕的軟件,軟件的變化通常會導致其他地方發生既不期望也不想要的變化。 為了防止安全受到影響,由外部影響和組件故障引起的危險故障行為必須是不可能的。 僅當安全電路設計得盡可能簡單並且與其餘控件分開時,才能滿足此條件。 安全電路中使用的元件或子組件也必須是故障安全的。
設計人員的任務是開發滿足安全要求的設計。 設計者不可避免地必須非常仔細地考慮必要的工作程序,包括特殊的操作模式。 必須進行分析以確定哪些安全工作程序是必要的,並且操作人員必須熟悉這些程序。 在大多數情況下,需要用於特殊操作的控制系統。 控制系統通常會觀察或調節一個動作,同時不必啟動其他動作(因為這項工作不需要其他動作,因此操作員也不會期望有其他動作)。 控制系統不必在各種特殊操作模式下執行相同的任務。
正常和特殊操作模式的要求和安全措施
普通手術
安全目標的規範不應阻礙技術進步,因為可以選擇合適的解決方案。 CNC 機床的使用對危險分析、風險評估和安全概念提出了最高要求。 下面更詳細地描述了幾個安全目標和可能的解決方案。
安全目標
可能的解決方案
安全目標
可能的解決方案
專項行動
正常操作和特殊操作(例如,門聯鎖裝置、光柵、安全墊)之間的接口對於使安全控制系統能夠自動識別人員的存在是必要的。 下面描述了 CNC 機床上的某些特殊操作模式(例如,設置、編程),這些模式需要必須在操作現場直接評估的運動。
安全目標
可能的解決方案
對安全控制系統的要求
安全控制系統的特徵之一必須是保證安全功能在任何故障出現時都起作用,以便將過程從危險狀態引導到安全狀態。
安全目標
可能的解決方案
結論
很明顯,如果沒有清晰無誤的安全概念,就無法阻止正常和特殊操作模式下事故的增加趨勢。 在製定安全法規和指南時必須考慮到這一事實。 為了允許先進的解決方案,安全目標形式的新指南是必要的。 這一目標使設計人員能夠為特定案例選擇最佳解決方案,同時通過描述每個安全目標的解決方案,以相當簡單的方式展示其機器的安全特性。 然後可以將該解決方案與其他現有和公認的解決方案進行比較,如果它更好或至少具有同等價值,則可以選擇一個新的解決方案。 這樣,進展就不會受到狹隘制定的法規的阻礙。
EEC 機械指令的主要特點
14 年 1989 月 89 日關於成員國機械相關法律的近似值的理事會指令 (392/XNUMX/EEC) 適用於每個單獨的州。
數控機床構造和使用的安全目標
1.車床
1.1 正常運行模式
1.1.1 工作區域應有防護措施,無論是有意還是無意,都不可能到達或踏入自動運動的危險區域。
1.1.2 刀庫應有防護措施,使其不可能有意或無意地到達或踏入自動運動的危險區域。
1.1.3 工件庫應有防護措施,使其不可能有意或無意地到達或踏入自動運動的危險區域。
1.1.4 排屑不得因切屑或機器運動部件造成人身傷害。
1.1.5 必須防止手伸入驅動系統造成人身傷害。
1.1.6 必須防止進入移動切屑輸送機危險區域的可能性。
1.1.7 飛出的工件或其部件不得對操作員或第三方造成人身傷害。
例如,這可能發生
1.1.8 飛出的工件夾具不得造成人身傷害。
1.1.9 飛屑不得造成人身傷害。
1.1.10 飛行工具或其零件不得造成人身傷害。
例如,這可能發生
1.2 特殊操作模式
1.2.1 工件更換。
1.2.1.1 工件夾緊必須以這樣的方式進行,即身體的任何部分都不能夾在閉合夾具和工件之間或推進套筒尖端和工件之間。
1.2.1.2 必須防止因錯誤命令或無效命令而啟動驅動器(主軸、軸、套筒、轉塔頭或切屑輸送機)。
1.2.1.3 必須能夠在沒有危險的情況下手動或使用工具操作工件。
1.2.2 刀架或刀塔頭換刀。
1.2.2.1 必須防止因係統行為缺陷或輸入無效命令而導致的危險。
1.2.3 刀庫換刀。
1.2.3.1 在換刀過程中,必須防止因指令錯誤或無效導致刀庫移動。
1.2.3.2 不得從工具裝載站接觸到其他移動的機器部件。
1.2.3.3 在刀庫的進一步移動或搜索過程中,不得進入危險區域。 如果在移除正常操作模式的防護裝置的情況下進行,這些運動只能是指定的類型,並且只能在規定的時間內進行,並且只有在可以確保身體的任何部位都不在這些危險區域時才能進行.
1.2.4 測量檢查。
1.2.4.1 只有在所有運動都停止後才能進入工作區域。
1.2.4.2 必須防止因命令錯誤或命令輸入無效而導致的驅動器啟動。
1.2.5 設置。
1.2.5.1 如果運動是在正常操作模式下移除防護裝置的情況下執行的,則必須通過其他方式保護操作員。
1.2.5.2 不得因有缺陷的命令或無效的命令輸入而啟動危險動作或動作變化。
1.2.6 編程。
1.2.6.1 編程期間不得進行危及工作區人員安全的動作。
1.2.7 生產故障。
1.2.7.1 必須防止因無效命令輸入設定點上的錯誤命令而導致的驅動器啟動。
1.2.7.2 工件或廢料的移動或移除不應引起危險動作或情況。
1.2.7.3 如果移動必須在移除正常操作模式的防護裝置的情況下進行,這些移動只能是指定的類型,並且只能在規定的時間內執行,並且只有在可以確保沒有任何部件的情況下身體處於這些危險區域。
1.2.8 故障排除。
1.2.8.1 必須防止進入自動機芯的危險區域。
1.2.8.2 必須防止因錯誤命令或無效命令輸入而導致驅動器啟動。
1.2.8.3 必須防止機器在操作有缺陷的部件時移動。
1.2.8.4 必須防止機器零件碎裂或掉落造成的人身傷害。
1.2.8.5 如果在故障排除期間,必須在移除正常操作模式的防護裝置的情況下進行移動,則這些移動只能是指定的類型,並且只能在訂購的時間內執行,並且只有在可以確保身體的任何部位都不在這些危險區域。
1.2.9 機器故障及維修。
1.2.9.1 必須防止機器啟動。
1.2.9.2 機器的不同部件的操作必須可以手動或使用工具進行,沒有任何危險。
1.2.9.3 不得接觸機器的帶電部件。
1.2.9.4 流體或氣體介質的問題不得造成人身傷害。
2.銑床
2.1 正常運行模式
2.1.1 工作區域應有防護措施,無論是有意還是無意,都不可能到達或踏入自動運動的危險區域。
2.1.2 排屑不得因切屑或機器運動部件造成人身傷害。
2.1.3 必須防止手伸入驅動系統造成人身傷害。
飛行的工件或其部件不得對操作員或第三方造成人身傷害。
例如,這可能發生
2.1.4 飛出的工件夾具不得造成人身傷害。
2.1.5 飛屑不得造成人身傷害。
2.1.6 飛行工具或其零件不得造成人身傷害。
例如,這可能發生
特殊操作模式
2.2.1 工件更換。
2.2.1.1 在使用電動夾具的情況下,身體的某些部位不得夾在夾具的閉合部件和工件之間。
2.2.1.2 必須防止因命令錯誤或命令輸入無效而導致驅動器(主軸、軸)啟動。
2.2.1.3 工件的操作必須可以手動或使用工具進行,沒有任何危險。
2.2.2 換刀。
2.2.2.1 必須防止因命令錯誤或命令輸入無效而導致的驅動器啟動。
2.2.2.2 放入工具時不得夾住手指。
2.2.3 測量檢查。
2.2.3.1 只有在所有運動都停止後才能進入工作區域。
2.2.3.2 必須防止因命令錯誤或命令輸入無效而導致的驅動器啟動。
2.2.4 設置。
2.2.4.1 如果在正常操作模式下移除防護裝置的情況下執行運動,則必須通過其他方式保護操作員。
2.2.4.2 不得因有缺陷的命令或無效的命令輸入而啟動危險動作或動作變化。
2.2.5 編程。
2.2.5.1 編程期間不得進行危及工作區人員安全的動作。
2.2.6 生產故障。
2.2.6.1 必須防止指令錯誤或指令輸入無效導致驅動器啟動。
2.2.6.2 工件或廢料的移動或移除不得引發危險動作或情況。
2.2.6.3 如果移動必須在移除正常操作模式的防護裝置的情況下進行,這些移動只能是指定的類型,並且只能在規定的時間內執行,並且只有在可以確保沒有任何部件的情況下身體處於這些危險區域。
2.2.7 故障排除。
2.2.7.1 必須防止進入自動機芯的危險區域。
2.2.7.2 必須防止因錯誤命令或無效命令輸入而導致驅動器啟動。
2.2.7.3 必須防止機器因操作有缺陷的部件而移動。
2.2.7.4 必須防止機器零件碎裂或掉落造成的人身傷害。
2.2.7.5 如果在故障排除期間,必須在移除正常操作模式的防護裝置的情況下進行移動,則這些移動只能是指定的類型,並且只能在訂購的時間內執行,並且只有在可以確保身體的任何部位都不在這些危險區域。
2.2.8 機器故障及維修。
2.2.8.1 必須防止啟動機器。
2.2.8.2 機器的不同部分的操作必須可以手動或使用工具進行,沒有任何危險。
2.2.8.3 不得接觸機器的帶電部件。
2.2.8.4 流體或氣體介質的問題不得造成人身傷害。
3.加工中心
3.1 正常運行模式
3.1.1 必須對工作區域進行防護,使其不可能有意或無意地到達或踏入自動運動的危險區域。
3.1.2 刀庫必須有防護裝置,不能觸及或踏入自動運動的危險區域。
3.1.3 工件庫必須有防護裝置,使其不可能到達或踏入自動運動的危險區域。
3.1.4 排屑不得因切屑或機器運動部件造成人身傷害。
3.1.5 必須防止手伸入驅動系統造成人身傷害。
3.1.6 必須防止進入移動的切屑輸送機(螺旋輸送機等)危險區域的可能性。
3.1.7 飛出的工件或其部件不得對操作員或第三方造成人身傷害。
例如,這可能發生
3.1.8 飛出的工件夾具不得造成人身傷害。
3.1.9 飛屑不得造成人身傷害。
3.1.10 飛行工具或其零件不得造成人身傷害。
例如,這可能發生
3.2 特殊操作模式
3.2.1 工件更換。
3.2.1.1 在使用電動夾具的情況下,身體的某些部位不得夾在夾具的閉合部件和工件之間。
3.2.1.2 必須防止因命令錯誤或命令輸入無效而導致的驅動器啟動。
3.2.1.3 必須能夠在沒有任何危險的情況下手動或使用工具操作工件。
3.2.1.4 在夾緊站更換工件時,不得從該位置到達或進入機器或工件庫的自動移動序列。 夾緊區內有人時,控制器不得啟動任何動作。 只有當夾緊站也受到與正常操作模式相對應的保護系統的保護時,才能將夾緊的工件自動插入機器或工件庫中。
3.2.2 主軸換刀。
3.2.2.1 必須防止因命令錯誤或命令輸入無效而導致的驅動器啟動。
3.2.2.2 放入工具時不得夾住手指。
3.2.3 刀庫換刀。
3.2.3.1 換刀時,必須防止指令錯誤或指令輸入無效導致刀庫移動。
3.2.3.2 不得從工具裝載站接觸到其他移動的機器部件。
3.2.3.3 在刀庫的進一步移動或搜索過程中,不得進入危險區域。 如果在移除正常操作模式的防護裝置的情況下進行,這些動作只能是指定的類型,並且只能在規定的時間內執行,並且只有在可以確保身體的任何部位都不在這些危險區域時.
3.2.4 測量檢查。
3.2.4.1 只有在所有運動都停止後才能進入工作區域。
3.2.4.2 必須防止因命令錯誤或命令輸入無效而導致的驅動器啟動。
3.2.5 設置。
3.2.5.1 如果運動是在正常操作模式下移除防護裝置的情況下執行的,則必須通過其他方式保護操作員。
3.2.5.2 不得因有缺陷的命令或無效的命令輸入而啟動危險運動或運動變化。
3.2.6 編程。
3.2.6.1 編程期間不得進行危及工作區人員安全的動作。
3.2.7 生產故障。
3.2.7.1 必須防止因命令錯誤或命令輸入無效而導致的驅動器啟動。
3.2.7.2 工件或廢料的移動或移除不得引發危險動作或情況。
3.2.7.3 如果移動必須在移除正常操作模式的防護裝置的情況下進行,這些移動只能是指定的類型,並且只能在規定的時間內執行,並且只有在可以確保沒有任何部件的情況下身體處於這些危險區域。
3.2.8 故障排除。
3.2.8.1 必須防止進入自動機芯的危險區域。
3.2.8.2 必須防止因錯誤命令或無效命令輸入而導致驅動器啟動。
3.2.8.3 必須防止機器因操作有缺陷的部件而移動。
3.2.8.4 必須防止機器零件碎裂或掉落造成的人身傷害。
3.2.8.5 如果在故障排除期間,必須在移除正常操作模式的防護裝置的情況下進行移動,則這些移動只能是指定的類型,並且只能在訂購的時間內執行,並且只有在可以確保身體的任何部位都不在這些危險區域。
3.2.9 機器故障及維修。
3.2.9.1 必須防止啟動機器。
3.2.9.2 機器的不同部分的操作必須可以手動或使用工具進行,沒有任何危險。
3.2.9.3 不得接觸機器的帶電部件。
3.2.9.4 流體或氣體介質的問題不得造成人身傷害。
4.磨床
4.1 正常運行模式
4.1.1 工作區域應有防護措施,無論是有意還是無意,都不可能到達或踏入自動運動的危險區域。
4.1.2 必須防止手伸入驅動系統造成人身傷害。
4.1.3 飛出的工件或其部件不得對操作員或第三方造成人身傷害。
例如,這可能發生
4.1.4 飛出的工件夾具不得造成人身傷害。
4.1.5 火花不得導致人身傷害或火災。
4.1.6 砂輪飛散件不得造成人身傷害。
例如,這可能發生
特殊操作模式
4.2.1 工件更換。
4.2.1.1 在使用電動夾具的情況下,身體的某些部位不得夾在夾具的閉合部件和工件之間。
4.2.1.2 必須防止指令錯誤或指令輸入無效導致進給驅動啟動。
4.2.1.3 操作工件時,必須防止旋轉的砂輪造成人身傷害。
4.2.1.4 不得因砂輪爆裂造成人身傷害。
4.2.1.5 工件的操作必須可以手動或使用工具進行,沒有任何危險。
4.2.2 換刀(換砂輪)
4.2.2.1 必須防止因命令錯誤或無效命令輸入而導致進給驅動啟動。
4.2.2.2 測量過程中不得因砂輪旋轉造成人身傷害。
4.2.2.3 不得因砂輪爆裂造成人身傷害。
4.2.3 測量檢查。
4.2.3.1 必須防止指令錯誤或指令輸入無效導致進給驅動啟動。
4.2.3.2 測量過程中不得因砂輪旋轉造成人身傷害。
4.2.3.3 不得因砂輪爆裂造成人身傷害。
4.2.4. 設置。
4.2.4.1 如果運動是在正常操作模式下移除防護裝置的情況下執行的,則必須通過其他方式保護操作員。
4.2.4.2 不得因有缺陷的命令或無效的命令輸入而啟動危險運動或運動變化。
4.2.5 編程。
4.2.5.1 編程期間不得進行危及工作區人員安全的動作。
4.2.6 生產故障。
4.2.6.1 必須防止指令錯誤或指令輸入無效導致進給驅動啟動。
4.2.6.2 工件或廢料的移動或移除不得引發危險動作或情況。
4.2.6.3 如果移動必須在移除正常操作模式的防護裝置的情況下進行,這些移動只能是指定的類型,並且只能在規定的時間內執行,並且只有在可以確保沒有任何部件的情況下身體處於這些危險區域。
4.2.6.4 必須防止旋轉的砂輪造成人身傷害。
4.2.6.5 不得因砂輪爆裂造成人身傷害。
4.2.7 故障排除。
4.2.7.1 必須防止進入自動機芯的危險區域。
4.2.7.2 必須防止因錯誤命令或無效命令輸入而導致驅動器啟動。
4.2.7.3 必須防止機器因操作有缺陷的部件而移動。
4.2.7.4 必須防止機器零件碎裂或掉落造成的人身傷害。
4.2.7.5 必須防止操作者接觸或因轉動的砂輪爆裂而造成人身傷害。
4.2.7.6 如果在故障排除期間,必須在移除正常操作模式的防護裝置的情況下進行移動,則這些移動只能是指定的類型,並且只能在訂購的時間內執行,並且只有在可以確保身體的任何部位都不在這些危險區域。
4.2.8 機器故障及維修。
4.2.8.1 必須防止啟動機器。
4.2.8.2 機器的不同部分的操作必須可以手動或使用工具進行,沒有任何危險。
4.2.8.3 不得接觸機器的帶電部件。
4.2.8.4 流體或氣體介質的問題不得造成人身傷害。
在必須滿足高生產率要求的行業中,工業機器人隨處可見。 然而,機器人的使用需要設計、應用和實施適當的安全控制,以避免對生產人員、程序員、維護專家和系統工程師造成危害。
為什麼工業機器人很危險?
機器人的一種定義是“可自由編程並且能夠在很少或沒有人機界面的情況下操作的移動自動機器”。 這些類型的機器目前廣泛用於工業和醫學領域,包括培訓。 工業機器人越來越多地用於關鍵功能,例如復雜裝置中的新製造策略(CIM、JIT、精益生產等)。 它們的應用數量和廣度以及設備和安裝的複雜性導致如下危險:
日本的調查表明,超過 50% 的機器人工作事故可歸因於控制系統電子電路的故障。 在同一調查中,“人為錯誤”所佔比例不到 20%。 這一發現的邏輯結論是,人類採取的行為措施無法避免由系統故障引起的危害。 因此,設計者和運營商需要提供和實施技術安全措施(見圖 1)。
圖 1. 用於設置移動焊接機器人的專用操作控制系統
事故和操作模式
涉及工業機器人的致命事故在 1980 世紀 XNUMX 年代初開始發生。 統計和調查表明,大多數事件和事故都不是在正常運行中發生的(相關任務的自動完成)。 在使用工業機器人機器和裝置時,重點是特殊的操作模式,例如調試、設置、編程、試運行、檢查、故障排除或維護。 在這些操作模式下,人員通常處於危險區域。 安全概念必須保護人員在這些類型的情況下免受負面事件的影響。
國際安全要求
1989 年 EEC 機械指令 (89/392/EEC)(參見本章中的“CNC 機床安全原則”一文和本章其他部分 百科全書)) 確立了機器的主要安全和健康要求。 機器被認為是相互連接的零件或裝置的總和,其中至少有一個零件或裝置可以移動並具有相應的功能。 就工業機器人而言,必須注意整個系統,而不僅僅是機器上的單個設備,必須符合安全要求並配備適當的安全裝置。 危害分析和風險評估是確定是否滿足這些要求的合適方法(見圖 2)。
圖 2. 人員安全系統框圖
正常運行的要求和安全措施
機器人技術的使用對危險分析、風險評估和安全概念提出了最高要求。 因此,以下示例和建議只能作為指南:
1. 鑑於必須防止手動或物理進入涉及自動移動的危險區域的安全目標,建議的解決方案包括以下內容:
2. 考慮到沒有人因能量釋放(飛行部件或能量束)而受傷的安全目標,建議的解決方案包括:
3. 正常操作和特殊操作之間的接口(例如,門聯鎖裝置、光柵、安全墊)是使安全控制系統能夠自動識別人員存在的必要條件。
特種作業方式要求及安全措施
工業機器人上的某些特殊操作模式(例如,設置、編程)需要必須在操作現場直接評估的運動。 相關的安全目標是任何運動都不會危及相關人員。 動作應該是
針對此目標的建議解決方案可能涉及使用特殊的操作控制系統,該系統僅允許使用可確認的控件進行可控和可管理的運動。 因此可以安全地降低運動速度(通過連接隔離變壓器或使用故障安全狀態監控設備來降低能量),並且在允許激活控制之前確認安全條件(見圖 3)。
圖 3. 帶物料門的安全籠中的六軸工業機器人
對安全控制系統的要求
安全控制系統的特徵之一必須是在出現任何故障時保證所需的安全功能正常工作。 工業機器人機器應該幾乎瞬間從危險狀態引導到安全狀態。 實現這一目標所需的安全控制措施包括以下安全目標:
提供可靠安全控制系統的建議解決方案是:
工業機器人建造和使用的安全目標。
在製造和使用工業機器人時,製造商和用戶都需要安裝最先進的安全控制裝置。 除了法律責任方面,還可能有道德義務確保機器人技術也是一種安全技術。
正常運行模式
機器人機器在正常模式下運行時,應提供以下安全條件:
特殊操作模式
當機器人機器在特殊模式下運行時,應提供以下安全條件:
對生產過程中的故障進行整改,必須防止:
在安裝過程中應確保以下安全條件:
錯誤的命令或不正確的命令輸入不會引發危險運動。
在編程期間,以下安全條件適用:
安全測試操作需要以下預防措施:
防止人工或物理進入因自動運動而產生危險的區域。
檢查機器人機器時,安全程序包括以下內容:
故障排除通常需要在處於潛在危險狀態時啟動機器人機器,並且應實施如下特殊的安全工作程序:
排除故障和維護工作也可能需要在機器處於不安全狀態時啟動,因此需要採取以下預防措施:
本文討論了涉及所有類型的電氣、電子和可編程電子系統(包括基於計算機的系統)的安全相關控制系統的設計和實現。 總體方法符合擬議的國際電工委員會 (IEC) 標準 1508 (功能安全:安全相關
系統) (IEC 1993)。
背景
在 1980 世紀 1 年代,基於計算機的系統——通常稱為可編程電子系統 (PES)——越來越多地用於執行安全功能。 這一趨勢背後的主要驅動力是 (2) 改進的功能和經濟效益(特別是考慮到設備或系統的整個生命週期)和 (XNUMX) 某些設計的特殊利益,只有在使用計算機技術時才能實現. 在基於計算機的系統的早期引入過程中,有許多發現:
為了解決這些問題,一些機構發布或開始製定指南,以實現 PES 技術的安全開發。 在英國,健康與安全執行局 (HSE) 制定了用於安全相關應用的可編程電子系統指南,在德國,發布了標準草案 (DIN 1990)。 在歐洲共同體內,根據機械指令的要求,開始了與安全相關控制系統(包括使用 PES 的系統)相關的協調歐洲標準工作的一個重要組成部分。 在美國,美國儀器協會 (ISA) 制定了用於過程工業的 PES 標準,美國化學工程師協會下屬的化學過程安全中心 (CCPS) 制定了指南用於化學過程部門。
IEC 目前正在進行一項主要的標準倡議,旨在為電氣、電子和可編程電子 (E/E/PES) 安全相關係統制定通用的國際標準,該標準可用於許多應用領域,包括過程、醫療、運輸和機械部門。 擬議的 IEC 國際標準包括總標題下的七個部分 IEC 1508. 電氣/電子/可編程電子安全相關係統的功能安全. 各部分如下:
最終確定後,這一基於通用的國際標準將構成一份 IEC 基本安全出版物,涵蓋電氣、電子和可編程電子安全相關係統的功能安全,並將對所有 IEC 標準產生影響,涵蓋與未來設計和使用有關的所有應用領域電氣/電子/可編程電子安全相關係統。 擬議標準的一個主要目標是促進各行業標準的製定(見圖 1)。
圖 1. 通用和應用部門標準
PES 的好處和問題
出於安全目的採用 PES 具有許多潛在優勢,但人們認識到,只有使用適當的設計和評估方法才能實現這些優勢,因為:(1) PES 的許多特性無法實現安全完整性(即是執行所需安全功能的系統的安全性能)以與傳統上不太複雜的基於硬件(“硬連線”)系統相同的置信度進行預測; (2) 人們認識到雖然測試對於復雜系統是必要的,但僅靠測試是不夠的。 這意味著即使 PES 實現了相對簡單的安全功能,可編程電子設備的複雜程度也明顯高於它們所取代的硬接線系統; (3) 這種複雜性的增加意味著必須比以前更多地考慮設計和評估方法,並且隨後需要更高的個人能力水平來實現安全相關係統的足夠性能水平。
基於計算機的 PES 的好處包括:
在安全相關應用中使用基於計算機的系統會產生許多需要充分解決的問題,例如:
考慮中的安全系統
正在考慮的安全相關係統類型是電氣、電子和可編程電子系統 (E/E/PES)。 該系統包括所有元素,特別是從傳感器或受控設備上的其他輸入設備發出的信號,並通過數據高速公路或其他通信路徑傳輸到執行器或其他輸出設備(見圖 2)。
圖 2. 電氣、電子和可編程電子系統 (E/E/PES)
術語 電氣、電子和可編程電子設備 已被用於涵蓋各種各樣的設備,並涵蓋以下三個主要類別:
根據定義,安全相關係統有兩個目的:
圖 3. 安全相關係統的主要特徵
系統故障
為了確保 E/E/PES 安全相關係統的安全運行,有必要識別安全相關係統故障的各種可能原因,並確保針對每種情況採取充分的預防措施。 故障分為兩類,如圖 4 所示。
圖 4. 故障類別
安全相關係統的保護
用於表示安全相關係統為防止隨機硬件故障和系統故障而需要採取的預防措施的術語是 硬件安全完整性措施 系統的安全完整性措施 分別。 安全相關係統可以針對隨機硬件故障和系統故障採取的預防措施稱為 安全完整性. 這些概念如圖 5 所示。
圖 5. 安全性能術語
在擬議的國際標準 IEC 1508 中,安全完整性分為四個級別,分別表示為安全完整性級別 1、2、3 和 4。安全完整性級別 1 是最低的安全完整性級別,安全完整性級別 4 是最高的。 安全相關係統的安全完整性等級(1、2、3 或 4)將取決於安全相關係統在實現受控設備所需安全等級方面所發揮作用的重要性。 可能需要多個安全相關係統——其中一些可能基於氣動或液壓技術。
安全相關係統的設計
最近對涉及控制系統 (HSE) 的 34 起事件進行的分析發現,所有故障案例中有 60% 是在安全相關控制系統投入使用之前“內置”的(圖 7)。 如果要生產足夠的安全相關係統,則必須考慮所有安全生命週期階段。
圖 7. 控制系統故障的主要原因(按階段)
安全相關係統的功能安全不僅取決於確保正確指定技術要求,還取決於確保技術要求得到有效實施,並確保在設備的整個生命週期內保持初始設計的完整性。 這只有在有效的安全管理系統到位並且參與任何活動的人員能夠勝任他們必須履行的職責的情況下才能實現。 特別是當涉及復雜的安全相關係統時,必須有一個適當的安全管理系統。 這導致了確保以下內容的策略:
為了系統地解決功能安全的所有相關技術要求,開發了安全生命週期的概念。 圖 1508 顯示了新興國際標準 IEC 8 中安全生命週期的簡化版本。安全生命週期的關鍵階段是:
圖 8. 安全生命週期在實現功能安全方面的作用
安全等級
圖 9 和圖 10 說明了為安全相關係統實現足夠安全完整性級別的設計策略。安全完整性級別基於安全相關係統在實現整體級別中所扮演的角色受控設備的安全性。 安全完整性等級規定了設計中需要考慮的預防措施,以防止隨機硬件和系統故障。
圖 9. 安全完整性級別在設計過程中的作用
安全和安全等級的概念適用於受控設備。 功能安全的概念適用於安全相關係統。 如果要為引起危險的設備實現足夠的安全級別,則必須實現安全相關係統的功能安全。 針對特定情況指定的安全級別是安全相關係統的安全完整性要求規範中的一個關鍵因素。
所需的安全級別取決於許多因素——例如,傷害的嚴重程度、暴露於危險中的人數、人們暴露於危險中的頻率以及暴露的持續時間。 重要的因素將是那些暴露於危險事件的人的看法和看法。 在確定什麼構成特定應用的適當安全級別時,需要考慮許多輸入,其中包括:
總結
在設計和使用安全相關係統時,必須記住,造成潛在危險的是受控設備。 安全相關係統旨在降低危險事件的發生頻率(或概率)和/或危險事件的後果。 一旦為設備設置了安全級別,就可以確定安全相關係統的安全完整性級別,正是安全完整性級別允許設計人員指定需要內置到設計中的預防措施,以針對隨機硬件和系統故障進行部署。
機械、加工廠和其他設備如果發生故障,可能會帶來火災、爆炸、輻射過量和運動部件等危險事件的風險。 此類工廠、設備和機械發生故障的方式之一是其控製或安全系統設計中使用的機電、電子和可編程電子 (E/E/PE) 設備故障。 這些故障可能由設備的物理故障引起(例如,由隨機發生的磨損和撕裂(隨機硬件故障)); 或系統故障(例如,由於(1)某些特定輸入組合,(2)某些環境條件(3)來自傳感器的不正確或不完整輸入,( 4) 操作員輸入的數據不完整或錯誤,以及 (5) 由於界面設計不佳而導致的潛在系統故障)。
安全相關係統故障
本文涵蓋安全相關控制系統的功能安全,並考慮了實現所需安全完整性所需的硬件和軟件技術要求。 總體方法符合擬議的國際電工委員會標準 IEC 1508,第 2 部分和第 3 部分 (IEC 1993)。 國際標準IEC 1508草案的總體目標, 功能安全:安全相關係統,是為了確保工廠和設備能夠安全自動化。 制定擬議國際標準的一個關鍵目標是防止或盡量減少以下情況的發生頻率:
“電氣、電子和可編程電子安全相關係統”一文闡述了 IEC 1 第 1508 部分中體現的通用安全管理方法,以確保對安全很重要的控制和保護系統的安全。 本文描述了將事故風險降低到可接受水平所需的總體概念工程設計,包括基於 E/E/PE 技術的任何控製或保護系統的作用。
在圖 1 中,來自設備、加工廠或機器的風險(通常稱為 受控設備 (EUC) 無保護裝置)標記在 EUC 風險等級的一端,而滿足所需安全級別所需的目標風險級別則在另一端。 在兩者之間顯示了安全相關係統和外部風險降低設施的組合,以構成所需的風險降低。 這些可以有多種類型——機械(例如減壓閥)、液壓、氣動、物理以及 E/E/PE 系統。 圖 2 強調了隨著事故的進展,每個安全層在保護 EUC 方面的作用。
圖 1. 降低風險:一般概念
如果按照 IEC 1 第 1508 部分的要求對 EUC 進行了危害和風險分析,則已經建立了安全的總體概念設計,因此任何 E/E/ 所需的功能和安全完整性等級 (SIL) 目標PE 控製或保護系統已定義。 安全完整性等級目標是根據目標失效措施定義的(見表 1)。
表 1. 保護系統的安全完整性等級:目標故障措施
安全完整性等級 需求操作模式(未能按需執行其設計功能的概率)
4 10-5 ≤ × 10-4
3 10-4 ≤ × 10-3
2 10-3 ≤ × 10-2
1 10-2 ≤ × 10-1
保護系統
本白皮書概述了 E/E/PE 安全相關係統的設計者應考慮的技術要求,以滿足所需的安全完整性等級目標。 重點是使用可編程電子設備的典型保護系統,以便在不失一般性的情況下更深入地討論關鍵問題。 圖 3 顯示了一個典型的保護系統,它描繪了一個單通道安全系統,該系統具有通過診斷設備激活的二次關閉。 在正常操作中,EUC 的不安全狀況(例如機器超速、化工廠高溫)將被傳感器檢測到並傳輸到可編程電子設備,後者將命令執行器(通過輸出繼電器)將系統進入安全狀態(例如,切斷機器電動機的電源,打開閥門以釋放壓力)。
圖 3. 典型保護系統
但是,如果保護系統組件出現故障怎麼辦? 這是二次關閉的功能,由本設計的診斷(自檢)功能激活。 然而,該系統並不是完全故障安全的,因為設計在被要求執行其安全功能時只有一定的可用概率(它有一定的按需故障概率或一定的安全完整性等級)。 例如,上述設計可能能夠檢測和容忍某些類型的輸出卡故障,但無法承受輸入卡故障。 因此,其安全完整性將遠低於具有更高可靠性輸入卡、改進診斷或這些的某種組合的設計。
卡故障還有其他可能的原因,包括硬件中的“傳統”物理故障、系統故障(包括需求規範中的錯誤)、軟件中的實施錯誤以及對環境條件(例如濕度)的保護不足。 這種單通道設計中的診斷可能無法涵蓋所有這些類型的故障,因此這將限制實際達到的安全完整性等級。 (覆蓋率衡量設計可以安全檢測和處理的故障百分比。)
技術要求
IEC 2 草案的第 3 部分和第 1508 部分提供了一個框架,用於識別硬件和軟件中的各種潛在故障原因,並用於選擇能夠克服那些適合安全相關係統所需安全完整性等級的潛在故障原因的設計特徵。 例如,圖3中保護系統的總體技術方案如圖4所示。圖中表明了克服故障和故障的兩種基本策略:(1) 故障避免,注意防止產生故障; 和 (2) 容錯,其中專門創建設計以容忍特定故障。 上面提到的單通道系統是(有限的)容錯設計的一個例子,其中診斷用於檢測某些故障並在危險故障發生之前將系統置於安全狀態。
圖 4. 設計規範:設計解決方案
故障規避
故障避免試圖防止將故障引入系統。 主要方法是使用系統的方法來管理項目,以便在設計期間以及隨後的運行和維護期間將安全視為系統的可定義和可管理的質量。 該方法類似於質量保證,基於反饋的概念並涉及:(1) 規劃 (確定安全目標,確定實現目標的方式方法); (2) 測量 實施過程中對計劃的成就和(3)應用 反饋 糾正任何偏差。 設計評審是故障避免技術的一個很好的例子。 在 IEC 1508 中,使用安全生命週期和對硬件和軟件採用安全管理程序的要求促進了這種避免故障的“質量”方法。 對於後者,這些通常表現為軟件質量保證程序,例如 ISO 9000-3 (1990) 中描述的程序。
此外,IEC 2 的第 3 部分和第 1508 部分(分別涉及硬件和軟件)對在各個安全生命週期階段被認為對避免故障有用的某些技術或措施進行了分級。 表 2 給出了第 3 部分中軟件設計和開發階段的示例。 設計人員將使用該表來幫助選擇故障避免技術,具體取決於所需的安全完整性等級。 對於表中的每項技術或措施,每個安全完整性級別都有一個建議,從 1 到 4。建議範圍包括強烈推薦 (HR)、推薦 (R)、中立——既不支持也不反對 (—) 和不推薦(天然橡膠)。
表 2. 軟件設計和開發
技術/措施 |
安全等級 1 |
安全等級 2 |
安全等級 3 |
安全等級 4 |
1. 形式化方法包括,例如,CCS、CSP、HOL、LOTOS |
- |
R |
R |
HR |
2. 半形式化方法 |
HR |
HR |
HR |
HR |
3.結構化。 方法論包括,例如,JSD、MASCOT、SADT、SSADM 和 YOURDON |
HR |
HR |
HR |
HR |
4.模塊化方法 |
HR |
HR |
HR |
HR |
5.設計和編碼標準 |
R |
HR |
HR |
HR |
HR = 強烈推薦; R = 推薦; NR = 不推薦;— = 中性:技術/措施既不支持也不反對 SIL。
注:應根據安全完整性等級選擇編號的技術/措施。
容錯能力
隨著安全完整性目標的增加,IEC 1508 要求提高容錯級別。 然而,該標準承認,當系統(以及構成這些系統的組件)很複雜時(在 IEC 1508 中指定為 B 類),容錯能力更為重要。 對於不太複雜、“經過充分驗證”的系統,可以放寬容錯程度。
對隨機硬件故障的容忍度
表 3 顯示了在如圖 3 所示的保護系統中使用複雜硬件組件(例如微處理器)時針對隨機硬件故障的容錯要求。設計人員可能需要考慮診斷、容錯和手動驗證檢查以克服此類故障,具體取決於所需的安全完整性等級。
表 3. 安全完整性等級 - B 類組件的故障要求1
1 與安全相關的未檢測到的故障應通過驗證檢查來檢測。
2 對於沒有在線介質診斷覆蓋的部件,系統應能夠在出現單一故障時執行安全功能。 應通過驗證檢查來檢測與安全相關的未檢測到的故障。
3 對於具有在線高診斷覆蓋率的組件,系統應能夠在出現單一故障時執行安全功能。 對於沒有在線高診斷覆蓋率的組件,系統應能夠在出現兩個故障時執行安全功能。 應通過驗證檢查來檢測與安全相關的未檢測到的故障。
4 元件應能在出現兩個故障時執行安全功能。 應通過在線高診斷覆蓋率檢測故障。 應通過驗證檢查來檢測與安全相關的未檢測到的故障。 定量硬件分析應基於最壞情況假設。
1故障模式未明確定義或無法測試,或現場經驗故障數據不佳的組件(例如,可編程電子組件)。
IEC 1508 通過提供設計規範表(見表 4)來幫助設計人員,其中設計參數根據許多常用保護系統架構的安全完整性等級編制索引。
表 4. 安全完整性等級 2 的要求 - 保護系統的可編程電子系統架構
PE系統配置 |
每個通道的診斷覆蓋率 |
離線驗證測試間隔(TI) |
誤跳閘平均時間 |
單 PE,單 I/O,分機。 西部數據 |
高 |
6個月 |
1.6年 |
雙PE,單I/O |
高 |
6個月 |
10年 |
雙 PE、雙 I/O、2oo2 |
高 |
3個月 |
1,281年 |
雙 PE、雙 I/O、1oo2 |
與機身相同顏色 |
2個月 |
1.4年 |
雙 PE、雙 I/O、1oo2 |
低 |
5個月 |
1.0年 |
雙 PE、雙 I/O、1oo2 |
Medium |
18個月 |
0.8年 |
雙 PE、雙 I/O、1oo2 |
高 |
36個月 |
0.8年 |
雙 PE、雙 I/O、1oo2D |
與機身相同顏色 |
2個月 |
1.9年 |
雙 PE、雙 I/O、1oo2D |
低 |
4個月 |
4.7年 |
雙 PE、雙 I/O、1oo2D |
Medium |
18個月 |
18年 |
雙 PE、雙 I/O、1oo2D |
高 |
48 +月 |
168年 |
三重 PE、三重 I/O、IPC、2oo3 |
與機身相同顏色 |
1 個月 |
20年 |
三重 PE、三重 I/O、IPC、2oo3 |
低 |
3個月 |
25年 |
三重 PE、三重 I/O、IPC、2oo3 |
Medium |
12個月 |
30年 |
三重 PE、三重 I/O、IPC、2oo3 |
高 |
48 +月 |
168年 |
表的第一列代表具有不同容錯度的架構。 一般來說,靠近表底部的架構比靠近頂部的架構具有更高的容錯度。 1oo2(二選一)系統能夠承受任何一個故障,2oo3 也是如此。
第二列描述了任何內部診斷的百分比覆蓋率。 診斷級別越高,捕獲的故障越多。 在保護系統中,這很重要,因為如果故障組件(例如,輸入卡)在合理的時間內(通常為 8 小時)得到修復,功能安全性幾乎沒有損失。 (注意:對於連續控制系統而言情況並非如此,因為任何故障都可能立即導致不安全狀況和潛在的事故發生。)
第三列顯示驗證測試之間的間隔。 這些是需要進行的特殊測試,以徹底運行保護系統以確保沒有潛在故障。 通常,這些由設備供應商在工廠停工期間執行。
第四列顯示虛假跳閘率。 虛假跳閘是指在沒有過程偏差的情況下導致工廠或設備關閉的跳閘。 安全的代價通常是更高的誤跳閘率。 一個簡單的冗餘保護系統——1oo2——在所有其他設計因素不變的情況下,具有比單通道 (1oo1) 系統更高的安全完整性等級和更高的誤跳閘率。
如果未使用表中的其中一種架構,或者如果設計人員想要執行更基本的分析,則 IEC 1508 允許此替代方案。 然後可以使用諸如馬爾可夫建模之類的可靠性工程技術來計算安全完整性等級的硬件元素(Johnson 1989;Goble 1992)。
對系統性和常見原因故障的容忍度
此類故障在安全系統中非常重要,是實現安全完整性的限制因素。 在冗餘系統中,一個組件或子系統,甚至整個系統被複製,以從低可靠性部件獲得高可靠性。 可靠性的提高是因為,從統計學上講,兩個系統同時因隨機故障而失效的可能性是各個系統可靠性的產物,因此要低得多。 另一方面,系統故障和共因故障會導致冗餘系統同時發生故障,例如,軟件中的規範錯誤會導致重複的部分同時發生故障。 另一個例子是冗餘系統的公共電源發生故障。
IEC 1508 提供了根據安全完整性級別排名的工程技術表,這些安全完整性級別被認為可以有效地提供針對系統性和常見原因故障的保護。
提供防禦系統故障的技術示例是多樣性和分析冗餘。 多樣性的基礎是,如果設計人員使用不同的技術或軟件語言在冗餘系統中實現第二個通道,則冗餘通道中的故障可被視為獨立的(即,偶然故障的可能性很低)。 然而,特別是在基於軟件的系統領域,有人認為這種技術可能無效,因為大多數錯誤都在規範中。 分析冗餘試圖利用工廠或機器中的冗餘信息來識別故障。 對於系統故障的其他原因——例如,外部應力——該標準提供了表格,這些表格給出了針對安全完整性等級索引的良好工程實踐(例如,信號線和電源線的分離)的建議。
結論
基於計算機的系統提供了許多優勢——不僅經濟,而且還有提高安全性的潛力。 然而,與使用傳統系統組件的情況相比,實現這種潛力所需的對細節的關注要多得多。 本文概述了設計人員要成功利用該技術需要考慮的主要技術要求。
農業、林業、建築和採礦工作以及物料搬運中的拖拉機和其他移動機械在車輛側翻、向前傾翻或向後傾倒時會引起嚴重的危險。 對於重心較高的輪式拖拉機,風險會更高。 存在翻車危險的其他車輛包括履帶式拖拉機、裝載機、起重機、水果採摘機、推土機、翻斗車、鏟運機和平地機。 這些事故通常發生得太快,司機和乘客無法遠離設備,他們可能會被困在車底。 例如,重心高的拖拉機翻車的可能性很大(窄拖拉機的穩定性甚至低於寬拖拉機)。 在拖拉機上引入了一個水銀髮動機切斷開關,用於在感應到橫向運動時關閉電源,但被證明速度太慢,無法應對側翻運動中產生的動力 (Springfeldt 1993)。 因此放棄了安全裝置。
事實上,此類設備經常在傾斜或不平坦的地面或鬆軟的地面上使用,有時在靠近溝渠、溝渠或挖掘處的地方使用,這是導致翻車的一個重要原因。 如果輔助設備安裝在拖拉機的高處,爬坡時向後翻倒(或下坡時向前翻倒)的可能性會增加。 此外,拖拉機可能因拖拉機牽引設備施加的壓力而失去控製而翻車(例如,當拖車在斜坡上向下移動且連接的設備未制動並超過拖拉機時)。 當拖拉機用作牽引車時會出現特殊的危險,特別是當拖拉機上的拖鉤放置在高於輪軸的位置時。
發展歷程
在發生許多致命翻車事故的某些國家/地區,已在國家層面注意到翻車問題。 在瑞典和新西蘭,拖拉機上的翻車保護結構 (ROPS) 的開發和測試(圖 1)在 1950 年代就已經在進行中,但這項工作僅在瑞典當局方面進行了後續規定; 這些規定從 1959 年開始生效(Springfeldt 1993)。
圖 1. 拖拉機上常見的 ROPS 類型
規定拖拉機 ROPS 的擬議法規在幾個國家的農業部門遭到抵制。 強烈反對要求雇主在現有拖拉機上安裝 ROPS 的計劃,甚至反對製造商只為新拖拉機配備 ROPS 的提議。 最終,許多國家成功地為新拖拉機規定了 ROPS,後來一些國家也能夠要求對舊拖拉機進行 ROPS 改造。 有關拖拉機和土方機械的國際標準,包括 ROPS 測試標準,有助於提高設計的可靠性。 拖拉機的設計和製造具有較低的重心和較低的拖鉤。 四輪驅動降低了翻車的風險。 但是,在舊拖拉機較多且未強制要求對 ROPS 進行改造的國家中,具有 ROPS 的拖拉機比例仍然很低。
調查
許多國家的研究人員已經對翻車事故,尤其是涉及拖拉機的翻車事故進行了研究。 然而,關於本文所審查的移動機械類型引起的事故數量,沒有集中的國際統計數據。 然而,國家一級的現有統計數據表明,這一數字很高,尤其是在農業領域。 根據一份關於 1968 年至 1976 年期間拖拉機側翻事故的蘇格蘭報告,事故發生時,85% 的拖拉機都裝有設備,其中一半裝有牽引式設備,一半裝有懸掛式設備。 蘇格蘭報告中三分之二的拖拉機翻車事故發生在斜坡上(Springfeldt 1993)。 後來證明,在引入斜坡駕駛培訓以及應用測量斜坡陡度的儀器與安全斜坡限制指標相結合後,事故數量將會減少。
在其他調查中,新西蘭研究人員觀察到,他們一半的致命翻車事故發生在平地或緩坡上,只有十分之一發生在陡坡上。 在平坦的地面上,拖拉機司機可能不太注意翻車危險,他們可能會誤判溝渠和不平坦地面帶來的風險。 在 1949 年至 1980 年期間新西蘭的拖拉機側翻死亡事故中,80% 發生在輪式拖拉機上,20% 發生在履帶式拖拉機上(Springfeldt 1993)。 瑞典和新西蘭的研究表明,大約 80% 的拖拉機側翻死亡事故發生在拖拉機側翻時。 新西蘭死亡事故中涉及的拖拉機有一半翻轉了 180°。
對西德翻車死亡事故與農用拖拉機型號年份之間相關性的研究(Springfeldt,1993 年)表明,1 年之前製造的 10,000 台未受保護的舊拖拉機中有 1957 台涉及翻車事故。 在 1970 年及以後生產的具有規定 ROPS 的拖拉機中,1 台拖拉機中有 25,000 台發生翻車事故。 在 1980 年至 1985 年期間西德發生的致命拖拉機翻車事故中,三分之二的受害者是被從他們的保護區拋出,然後被拖拉機碾過或撞到 (Springfeldt 1993)。 在非致命的翻車事故中,四分之一的司機被從駕駛座上拋下但沒有被碾過。 很明顯,如果駕駛員被拋出保護區(類似於車禍),死亡風險會增加。 大多數涉及的拖拉機都有一個雙柱弓(圖 1 C),不能防止駕駛員被拋出。 在少數情況下,ROPS 曾發生破損或嚴重變形。
Springfeldt(100,000)計算了一些國家不同時期每1993輛拖拉機受傷的相對頻率和死亡率的降低。 ROPS 在減少拖拉機翻車事故傷害方面的有效性已在瑞典得到證實,在過去的三十年(100,000 年至 17 年)期間,每 0.3 輛拖拉機的死亡人數從大約 1960 人減少到 1990 人(圖 2)。 在此期間結束時,估計大約 98% 的拖拉機都安裝了 ROPS,主要採用防壓駕駛室的形式(圖 1 A)。 在挪威,在相似時期內,每 24 輛拖拉機的死亡人數從大約 4 人減少到 100,000 人。 然而,芬蘭和新西蘭的成績更差。
圖 2. 100,000 年至 1957 年間瑞典每 1990 輛拖拉機因翻車造成的傷害
防止翻車受傷
拖拉機的翻車風險最大; 然而,在農業和林業工作中,幾乎沒有辦法防止拖拉機翻車。 通過在拖拉機和具有潛在翻車危險的那些類型的土方機械上安裝 ROPS,可以降低人身傷害的風險,前提是駕駛員在翻車事件中保持在座位上(Springfeldt 1993)。 翻車事故的發生率在很大程度上取決於使用中的受保護機器的比例和使用的 ROPS 類型。 船首(圖 1 C)提供的保護遠少於駕駛室或車架(Springfeldt 1993)。 最有效的結構是防壓駕駛室,它可以讓司機在翻車時留在車內,受到保護。 (選擇駕駛室的另一個原因是它提供天氣保護。)在翻車過程中將駕駛員保持在 ROPS 保護範圍內的最有效方法是係安全帶,前提是駕駛員在操作設備時使用安全帶。 在某些國家/地區,駕駛員座椅上有信息牌,建議在發生翻車事故時握緊方向盤。 額外的安全措施是設計駕駛室或內部環境以及 ROPS,以防止暴露於危險,例如鋒利的邊緣或突起。
在所有國家/地區,移動機械(主要是拖拉機)的翻車都會造成嚴重傷害。 然而,在與機械設計相關的技術規範以及檢查、測試、檢查和營銷的行政程序方面,各國之間存在很大差異。 國際多樣性是這方面安全努力的特徵,可以通過以下考慮來解釋:
安全規定
管理 ROPS 要求的規則的性質和一個國家的規則實施程度,對翻車事故,尤其是致命事故有很大影響。 考慮到這一點,國際和國家組織發布的指令、規範和標準推動了更安全機械的發展。 此外,許多國家對 ROPS 採取了嚴格的規定,從而大大減少了翻車傷害。
歐洲經濟共同體
從 1974 年開始,歐洲經濟共同體 (EEC) 發布了有關輪式農林拖拉機型式認證的指令,並於 1977 年進一步發布了有關 ROPS 的特殊指令,包括它們在拖拉機上的附件(Springfeldt 1993;EEC 1974、1977、1979, 1982 年,1987 年)。 該指令規定了拖拉機製造商的型式批准和認證程序,並且 ROPS 必須通過 EEC 型式批准檢查進行審查。 這些指令已得到所有成員國的接受。
一些關於拖拉機 ROPS 的 EEC 指令從 31 年 1995 月 1991 日起被廢除,取而代之的是通用機械指令,該指令適用於那些因其機動性而存在危險的機械(EEC 15)。 輪式拖拉機以及一些容量超過 XNUMX 千瓦的土方機械(即履帶式和輪式裝載機、反鏟裝載機、履帶式拖拉機、鏟運機、平地機和鉸接式自卸車)必須安裝 ROPS。 在翻車的情況下,ROPS 必須為駕駛員和操作員提供足夠的偏轉限制空間(即,在事故期間允許乘員身體在接觸內部元件之前移動的空間)。 製造商或其授權代表有責任進行適當的測試。
組織經濟合作與發展
1973 年和 1987 年,經濟合作與發展組織 (OECD) 批准了拖拉機測試標準規範(Springfeldt 1993;OECD 1987)。 他們給出了拖拉機的測試結果,並描述了測試設備和測試條件。 這些規範要求測試許多機械部件和功能,例如 ROPS 的強度。 OECD 拖拉機規範描述了在某些類型的拖拉機上測試 ROPS 的靜態和動態方法。 ROPS 可能專門設計用於在拖拉機翻車時保護駕駛員。 必須對要安裝 ROPS 的每種型號的拖拉機進行重新測試。 規範還要求可以在結構上為駕駛員安裝一個或多或少具有臨時性質的天氣保護裝置。 自 1988 年以來,所有 OECD 成員機構都接受了拖拉機規範,但實際上美國和日本也接受在提供安全帶的情況下不符合規範要求的 ROPS(Springfeldt 1993)。
國際勞工組織
1965 年,國際勞工組織 (ILO) 在其手冊中, 農業工作安全衛生,要求駕駛室或足夠強度的框架充分固定在拖拉機上,以便在拖拉機翻車時為駕駛室內的駕駛員和乘客提供令人滿意的保護(Springfeldt 1993;ILO 1965)。 根據 ILO 操作規範,農用和林業拖拉機應配備 ROPS,以在翻車、物體掉落或負載移位時保護操作員和任何乘客 (ILO 1976)。
ROPS 的安裝不應對
國際和國家標準
1981 年,國際標準化組織 (ISO) 發布了農林用拖拉機和機械標準 (ISO 1981)。 該標準描述了 ROPS 的靜態測試方法並規定了驗收條件。 該標準已獲得22個國家成員機構的批准; 但是,加拿大和美國以技術為由表示不贊成該文件。 北美汽車工程師協會 (SAE) 於 1974 年發布的標準和推薦做法包含對用於建築業的輪式農用拖拉機和工業拖拉機、輪胎式鏟運機、前端裝載機、推土機、履帶式裝載機的 ROPS 的性能要求和平地機(SAE 1974 和 1975)。 該標準的內容已被美國和加拿大的艾伯塔省和不列顛哥倫比亞省採納為法規。
規則與合規
OECD 規範和國際標準涉及 ROPS 的設計和構造以及對其強度的控制,但沒有權力要求將這種保護付諸實踐(OECD 1987;ISO 1981)。 歐洲經濟共同體還提議拖拉機和土方機械配備防護裝置(EEC 1974-1987)。 EEC 指令的目的是在製造階段的新機械安全方面實現國家實體之間的統一。 成員國有義務遵循指令並出台相應的規定。 從 1996 年開始,EEC 成員國打算頒布法規,要求新的拖拉機和土方機械安裝 ROPS。
1959 年,瑞典成為第一個要求新拖拉機採用 ROPS 的國家(Springfeldt 1993)。 十年後,相應的要求在丹麥和芬蘭生效。 隨後,在 1970 年代和 1980 年代,英國、西德、新西蘭、美國、西班牙、挪威、瑞士等國家對新型拖拉機實施了 ROPS 強制要求。 在除美國以外的所有這些國家中,規則在幾年後擴展到舊拖拉機,但這些規則並不總是強制性的。 在瑞典,所有拖拉機都必須配備防護駕駛室,在英國,這一規定僅適用於農業工人使用的所有拖拉機 (Springfeldt 1993)。 在丹麥、挪威和芬蘭,所有拖拉機都必須至少配備一個車架,而在美國和澳大利亞各州,車頭是可以接受的。 在美國,拖拉機必須係安全帶。
在美國,1972 年之前製造並用於建築工程的物料搬運機械必須配備符合最低性能標準的 ROPS(美國國家事務局 1975)。 該要求涵蓋的機器包括一些鏟運機、前端裝載機、推土機、履帶式拖拉機、裝載機和平地機。 在大約三年前製造的機器上進行了 ROPS 改造。
S總結
在對新拖拉機 ROPS 和舊拖拉機改裝 ROPS 有強制性要求的國家,翻車傷害有所減少,尤其是致命的。 很明顯,防壓駕駛室是最有效的 ROPS 類型。 在翻車的情況下,弓提供的保護很差。 許多國家至少在新拖拉機上和 1996 年在土方機械上規定了有效的 ROPS。 儘管如此,一些權威機構似乎接受了不符合 OECD 和 ISO 頒布的此類要求的 ROPS 類型。 預計在全世界範圍內,包括發展中國家,將逐步實現管理 ROPS 規則的更普遍的協調。
" 免責聲明:國際勞工組織不對本門戶網站上以英語以外的任何其他語言呈現的內容負責,英語是原始內容的初始製作和同行評審所使用的語言。自此以來,某些統計數據尚未更新百科全書第 4 版的製作(1998 年)。”