- они могли быть надежно использованы без промедления, быстро и однозначно (например стандартное расположение органов управления уменьшает возможность ошибки, когда оператор переходит с одной машины на другую, подобного типа, функционирующую по тому же производственному циклу);
- их расположение (для кнопок) и перемещение (для рычагов и маховиков) согласовывалось с их действием (см. [3]);
- их работа не могла вызвать дополнительный риск.
Если орган управления сконструирован и изготовлен для осуществления нескольких различных действий, т.е. если его действие неоднозначно (например клавиатуры), действие, которое следует выполнить, должно быть четко обозначено для безошибочного восприятия.
Органы управления должны быть используемы так, чтобы их расположение, направление движения и усилия для приведения их в действие были согласованы с выполняемым действием, с учетом эргономических принципов. В расчет должны быть приняты нагрузки, связанные с необходимостью или возможностью использования средств индивидуальной защиты (таких как перчатки, одежда).
3.6.7 Конструкция и расположение указателей, лимбов, оптических индикаторов должны быть такими, чтобы:
- они соответствовали параметрам и специфике восприятия человека;
- воспроизводимая информация могла быть без затруднения воспринята, идентифицирована и интерпретирована, например должна быть показана достаточно долго, разборчиво, быть однозначной и понятной в соответствии с требованиями операторов и предназначенного применения (использования);
- оператор был бы в состоянии видеть их с рабочего места;
- с главной рабочей позиции оператор был бы в состоянии убедиться, что в опасных зонах нет лиц, подвергаемых опасности; если это невозможно, система управления должна быть сконструирована и реализована так, чтобы пуску предшествовал звуковой и/или световой предупреждающий сигнал. Лицо, подвергающееся опасности, должно иметь время и средства для предотвращения пуска машины.
Недостаточная проработка при конструировании систем управления машиной может привести к непредвиденному и потенциально опасному поведению машины.
Типичными причинами опасного поведения машины являются:
- неправильный выбор конструкции или ошибки (случайные или преднамеренные) в логической схеме системы управления;
- временный или постоянный сбой или отказ одного или нескольких элементов системы управления;
- нарушения или отказ в источнике питания системы управления;
- ошибки в конструкции или расположении органов системы управления.
Типичными примерами опасного поведения машины являются:
- непреднамеренный/неожиданный пуск;
- неуправляемое изменение скорости;
- невозможность остановки движущихся частей;
- падение или выброс подвижной части машины или обрабатываемой детали, закрепленной в машине;
- блокирование предохранительных устройств безопасности.
В системах управления должны быть предусмотрены меры, позволяющие оператору безопасно и легко вмешиваться в процесс управления, что требует:
- систематического анализа условий пуска и останова;
- обеспечения специфических режимов работы, например пуск после нормального останова, повторный пуск после прерывания цикла или после аварийного останова, удаление деталей, находящихся в машине, работа части машины в случае отказа ее элемента;
- однозначной индикации сбоев в случае использования электронной системы управления и визуального блока индикации;
- учета особых требований к комплексным машинам.
Для того чтобы предотвратить опасное поведение машины и достичь безопасного функционирования, при конструировании системы управления должны быть применены следующие принципы и/или методы, используемые по одному или в сочетании.
3.7.1 Правильный процесс пуска или ускорения движения машины, который следует осуществлять путем приложения (или увеличения) электрического напряжения или давления жидкости, или, если это элементы двоичной логики, путем перевода из состояния 0 в состояние 1 (если состояние 1 представляет собой состояние с наивысшим уровнем энергии).
В свою очередь, правильный процесс останова или замедления должен быть осуществлен путем отключения (или уменьшения) электрического напряжения или давления жидкости, или, если это элементы двоичной логики, путем перевода из состояния 1 в состояние 0 (если состояние 1 представляет собой состояние с наивысшим уровнем энергии).
3.7.2 Исключение опасного самопроизвольного повторного пуска машины, вызванного возобновлением подачи питания после перебоя, например путем использования самоблокирующихся реле, контакторов или распределителей.
3.7.3 Использование надежных элементов системы управления, которые могут противостоять всем нарушениям и нагрузкам, связанным с применением машины в условиях предназначенного использования, в течение заданного срока службы без сбоев, которые могут привести к опасности из-за неправильного функционирования машины.
Примечание - К числу внешних нагрузок, которые должны быть приняты во внимание, относят, например: удар, вибрацию, охлаждение, нагрев, влажность, пыль, агрессивные материалы/среды, статическое электричество, магнитные и электрические поля. Такие нагрузки могут привести к нарушениям (пробою) изоляции, временным или постоянным выходам из строя элементов систем управления (см. также 3.10).
3.7.4 Использование элементов системы управления или систем управления с «определенным характером отказов», т.е. элементов или систем, для которых заранее известны наиболее часто встречающиеся отказы.
3.7.5 Дублирование (или избыточность) «критических» элементов системы управления
Кроме надежных элементов системы управления, положительно зарекомендовавших себя на практике, функции безопасности могут взять на себя другие элементы системы управления, и в случае отказа одного другой (или другие) сможет выполнять функцию отказавшего элемента, обеспечивая тем самым требуемый уровень безопасности. Необходимо предусмотреть автоматический контроль (см. 3.7.6) в комбинации с разнообразными конструктивными решениями и/или технологическими мероприятиями, направленными на исключение обычных причин отказов (например из-за электромагнитных полей). В этом случае риск отказа, ведущего к опасному состоянию, значительно снижен (достигается приближение к условиям полной безопасности), так как опасная ситуация возникает только тогда, когда оба или все «критические» элементы системы управления откажут во время одного и того же цикла.
3.7.6 Автоматический контроль
Автоматический контроль обеспечивает эффективность мер безопасности, если способность элемента системы управления выполнять свои функции уменьшена или если условия работы изменились так, что возникают опасности.
Мерами безопасности могут быть:
- прекращение процесса, связанного с риском;
- предотвращение повторного пуска процесса после первого прерывания, последовавшего за сбоем элемента системы управления;
- подача сигнала тревоги.
3.7.7 Обеспечение функций безопасности в перепрограммируемых системах управления
Системы, разрабатываемые в качестве программируемых, создают дополнительные проблемы безопасности.
В состав подобных систем входят:
- диски, переключатели обслуживающих устройств кулачкового или барабанного типа, клапаны или рычажные механизмы;
- селекторные переключатели или клапаны, влияющие на «аппаратные устройства на основе логических схем»;
- устройства для считывания с перфокарт;
- устройства для считывания с перфолент;
- магнитные ленты или диски;
- оптические или электронные запоминающие устройства.
Когда подобные устройства используются в системах управления для обеспечения безопасности, должны быть предусмотрены средства, которые предотвращают случайное или преднамеренное изменение во введенной программе.
Подобные средства могут включать в себя:
- заштифтованные кулачки;
- встроенное программное обеспечение, например постоянное запоминающее устройство (ПЗУ);
- замки, ограничивающие доступ;
- ключевые слова (пароль) для доступа к программному обеспечению.
Примечание - По возможности следует использовать системы поиска неисправностей, чтобы исправлять ошибки перепрограммирования.
3.7.8 Принципы безопасности для органов ручного управления:
а) органы ручного управления следует разрабатывать в соответствии с эргономическими принципами (см. 3.6.6);
б) выключатель должен быть расположен вблизи каждого пускового органа управления. Там, где включение/выключение осуществляют переключателем без фиксации, должен быть предусмотрен отдельный выключатель, если существует опасность отказа органа - включение/выключение при его отпускании;
в) органы управления должны быть расположены вне опасных зон, за исключением определенных органов, которые, по необходимости, располагают в опасной зоне, - такие как аварийное отключение, подвесной пульт и т.п.;
г) по возможности, органы управления, особенно для функции пуска, должны быть расположены так, чтобы оператор при воздействии на орган мог видеть управляемые элементы;
д) если пуск опасной детали машины возможен посредством нескольких органов управления, цепь управления должна быть организована так, чтобы в данный момент был активен только один орган управления. Это особенно относится к машинам, управляемым, кроме других, переносными устройствами управления, например подвесными пультами, с которыми оператор может войти в опасную зону. Это не касается двуручного устройства управления (см. 3.23.4 ГОСТ ИСО/ТО 12100-1);
е) органы управления должны быть сконструированы и защищены так, чтобы управление ими, приводящее к опасным действиям, могло осуществляться только преднамеренно.
3.7.9 Выбор органов управления и режимов работы
Если машина сконструирована и изготовлена так, что возможно ее использование в нескольких режимах управления или работы, представляющих собой различные уровни безопасности (например для настройки, проверки, обслуживания), она должна быть снабжена органом выбора режима, запираемым в каждой позиции.
Каждая позиция органа выбора режима должна соответствовать одному режиму управления и работы. Этот орган может быть заменен другими средствами выбора, которые обеспечивали бы выполнение определенных функций машины определенными категориями операторов (например коды доступа для определенных числовых функций управления).
3.7.10 Режим управления для наладки, обучения, переналадки, поиска неисправностей, чистки или обслуживания
Там, где для наладки, обучения, изменения процесса, поиска неисправностей, чистки или обслуживания машины необходимо снять или переместить ограждение и/или нейтрализовать предохранительное устройство безопасности и где необходимо для целей этих операций машину привести в рабочий режим, должна быть обеспечена безопасность оператора, по возможности с использованием режима ручного управления, который одновременно:
- блокирует режим автоматического управления (это означает, что не произойдет никакая опасная операция как результат изменения состояния какого-либо датчика);
- разрешает работу опасных деталей машины только посредством приведения в действие сопутствующего устройства управления (см. 3.23.2 ГОСТ ИСО/ТО 12100-1), устройства управления с автоматическим возвратом в исходное положение (см. 3.23.3 ГОСТ ИСО/ТО 12100-1) или двуручного устройства управления (см. 3.23.4 ГОСТ ИСО/ТО 12100-1);
- разрешает работу опасных деталей машины только в условиях повышенной безопасности (например при пониженной скорости, пониженной нагрузке/мощности, в шаговом режиме, используя устройство управления ограниченным движением (см. 3.23.8 ГОСТ ИСО/ТО 12100-1)), чтобы уменьшить риск.
Этот режим управления должен быть связан со следующими мерами:
- ограничением доступа к опасной зоне, по возможности;
- наличием органа управления аварийного останова в пределах непосредственного доступа оператора;
- наличием переносного устройства управления (подвесного пульта управления) и/или локального органа управления, допускающего наблюдение управляемых элементов.
3.7.11 Другие стандартизованные меры для конструирования электрических (электромеханических и электронных) систем управления для исключения опасности при ошибках функционирования
Электромагнитная совместимость электронного оборудования всех машин должна соответствовать требованиям соответствующих стандартов. Для промышленных машин конструирование систем управления - по ГОСТ Р МЭК 60204-1.
Пневматическое и гидравлическое оборудование машин должно быть сконструировано так, чтобы:
- не было превышено максимально допустимое давление в системах пневматического и гидравлического оборудования (например с помощью ограничителей давления);
- не возникало опасности при сбросе давления, падении давления или потере герметичности;
- не возникало опасности утечек, обусловленных неплотностями или повреждениями деталей;
- воздушные ресиверы, воздушные резервуары и подобные емкости (такие как гидропневмоаккумуляторы) соответствовали правилам конструирования этих элементов;
- все элементы оборудования, особенно трубопроводы и шланги, были защищены от вредных внешних воздействий;
- по возможности, резервуары и подобные емкости (например гидропневмоаккумуляторы) оказывались бы автоматически без давления, как только машину отключают от источника питания (см. 6.2.2), и были бы приняты меры для отключения и/или местного сброса давления и указания значения давления;
- все элементы оборудования, которые остаются под давлением после отключения машины от источника питания, были снабжены четко идентифицированными устройствами сброса давления и табличкой с предупреждением о необходимости снятия (сброса) давления до наладки или проведения технического обслуживания на машине.
