工廠智能安全防護系統構建之權限管理方案

文 / 應露瑤 戴聞杰 汪中亨

寧波緯誠科技股份有限公司/全國機械安全標準化技術委員會智能制造安全工作組

“權限管理方案，是在物理隔離安全門的基礎上加裝授權進入受控區域的組件，以確保正確的人在正確的時間進入正確的區域。本篇簡要介紹了權限管理方案的構成、權限管理方案的設計要點，并著重介紹權限管理方案實施中的注意點，供工廠、設備商、集成商等相關人員參考?！?/p>

在前兩期文章中，分別介紹了物理隔離方案和聯鎖保護方案。物理隔離方案的防護目標是進行人機的物理隔離，防止人員非預期地進入和機械部件沖擊來減小風險；聯鎖保護方案，則是在物理隔離的基礎上加裝各種保護裝置，以避免設備的意外啟動或危險運動對人造成傷害。

在設備正常運行區間人員不需要進入危險區時，可以只采用物理隔離的方案；若設備正常運行期間人員需要進入危險區，就需要物理隔離和聯鎖保護兩種方案的組合使用。如果需要在設備進行一些特定的操作時，如機器設定、示教、過程轉換、故障查找、清洗或維護時進入危險區，除了設計安全防護裝置外，還要確保執行任務的人員有相應的能力。確定執行任務的工作人員的能力，可以說是有關風險減小措施中的主要要求。這種情況下，就需要設立對應的安全操作規程，以及在防護裝置的安全門或其他通道上加裝授權進入的組件，以確保執行特定任務的人員是具備該任務的操作權限的。

權限管理的概念以及對應到標準的設計要求并不復雜，而在實際項目的實施中，權限管理方案是業主方內部管理要求的工程化實現方式，往往需要根據不同企業的管理要求和不同的操作任務，結合物理隔離、聯鎖保護方案一起來設計方案。因此，本篇將著重介紹權限管理方案實施中的注意點。

一、什么是權限管理方案

本文中的“權限”，主要是指人員進入某個區域執行特定操作任務的權限。企業基于資產安全、信息安全、人員安全的考慮，對不同的系統都會有人員權限管理的需求。本文的“權限管理方案”，主要是指在物理隔離的安全門上加裝授權進入系統，以確保正確的人在正確的時間進入正確的區域，降低區域內設備意外啟動或不規范操作對人造成傷害的風險，尤其是電氣、機械、液壓、氣動等危險能量在機器設定、示教、過程轉換、故障查找、清洗或維護時可能造成授權操作的人員傷害的風險。授權和對危險能量進行控制，在這些特定操作中都很重要。在危險能量控制方法中，一般情況下首選的是上鎖掛牌LOTO，同時在其中也蘊含著一定的權限管理邏輯。這部分內容將在實施要點章節中詳細介紹。

普通的授權進入系統由識別組件和邏輯單元構成，人員由識別組件識別后，經由邏輯單元與數據庫中預先錄入的授權數據比對后，授予人員進入區域的權限。常見的授權進入系統，如圖1和圖2所示。

圖1 一種常用的權限管理系統 PITreader

圖2 一種常用的權限管理系統 Trapped Key 截留鑰匙

此外，因其模式選擇、事件日志等功能滿足了管理需要，安全防護的智能授權系統成為應用趨勢。國標《機械安全 安全防護智能授權系統設計通則》已在擬立項階段。除了識別組件和邏輯單元之外，智能授權系統還有人機交互模塊，如觸摸顯示屏，人員由識別組件識別后，經由邏輯單元與授權數據庫中預先錄入的授權數據比對后，授予人員通過人機交互模塊操作的相應權限，交互界面則通過控制系統安全相關部件SRP/CS，按授權對系統進行控制并接受其數據反饋。結構完整的智能授權系統，如圖3所示。

圖3 一種帶智能LOTO功能的智能授權系統

其中，識別組件包括人員身份標識和識別裝置。人員身份標識可以是生物特征標識（如視網膜掃描、指紋）和/或分配給其使用的識別符（如射頻標簽、識別卡、密匙）。識別方式應根據實際需求和場景進行選擇，常見的識別方式優缺點對比表，如表1所示。

表1 常見的人員身份識別方式對比表

值得注意的是，普通的授權系統和智能的授權系統都需要與安全防護裝置一起使用，不能取代防護裝置和保護裝置。

二、權限管理方案的設計要求

作為普通與智能系統通用組件的識別組件，可采用任何能夠實現身份驗證的技術。智能授權系統的識別組件應能夠用來記錄控制區的人員出入情況。

識別組件的人員身份標識宜使用生物特征標識，如視網膜掃描、指紋；宜根據具體應用場景選擇適合的人員身份標識，如需要戴手套的場合宜避免采用指紋，戴防護面罩的場合宜避免采用視網膜掃描。

識別組件的識別裝置應能夠識別所采用的人員身份標識，并將信息傳輸至邏輯單元。識別裝置的位置應便于人員執行任務，并應考慮人類工效學要求。

智能授權系統設計前，集成商應審查機器的風險評估文件，并考慮任務分區以及相應的控制范圍。

智能授權系統應能控制所有需要在危險區執行任務的操作模式，例如調節、設定、示教及故障排除。相應地，智能授權系統的功能應以GB/T 16655－2008《 機械安全 集成制造系統 基本要求》中5.1.3、8.2.2和8.4以及GB/T 15706－2012《機械安全設計通則 風險評估與風險減小》中6.2.11.9所描述IMS操作模式為基礎。

智能授權系統是額外增加的層級，其作用是向SRP/CS的邏輯單元提供輸入，然后根據授權針對所需執行的任務激活相應的控制或操作模式。智能授權系統從本質上說實現的是使能控制，屬于安全功能，因此其設計應符合GB/T 16855.1規定的性能等級。智能授權系統可以是控制系統安全相關部件SRP/CS的一部分，也可以獨立存在。

智能授權系統，宜提供以下功能：

1.識別人員；

2.查驗所選擇任務的授權與所識別人員是否匹配；

3.告知人員其被授權的任務；

4.激活與所選擇任務對應的操作模式；

5.指示人員將要進入的區域。

智能授權系統的設計，宜至少考慮以下方面：

1.適合具體應用的識別組件；

2.識別裝置相對于進出區域/路徑的位置；

3.與授權卡片數據庫的接口；

4.要求本地操作的任務；

5.用于本地操作的相關保護裝置（如使能裝置、SPE）；

6.顯示的信息（如申請的任務、進出路徑）。

人機交互模塊應能夠接受人員提出的請求并與邏輯單元進行信息交換，并根據邏輯單元的授權允許人員執行操作請求。根據具體需要，人機交互模塊宜顯示以下信息：

1.人員可以進入的任務區，任務區的進入路徑以及必要時的離開路徑；

2.所選擇任務；

3.允許人員執行的任務；

4.響應執行安全相關操作請求的授權結果；

5.如果會發生自動/意外重新啟動（見GB/T 15706－2012的6.3.3.2.5），則宜顯示可進入的相鄰任務區的主要信息，如操作模式。

智能授權系統可激活/禁止的安全功能，宜包括但不限于：

1.模式選擇

2.重新啟動；

3.復位；

4.釋放將防護裝置鎖定在關閉位置的防護鎖定裝置（見GB/T 18831）。

智能授權系統集成商宜根據GB/T 16855.1和GB/T 16855.2，驗證并確認智能授權系統整體作為使能/授權裝置是否滿足安全功能的要求。

權限管理的主要目標是，減少授權進入受控區進行機器特定操作人員受到危險能量傷害的風險。授權方案設計前，設計授權人員在危險區作業的危險能量控制方案非常重要。

三、權限管理方案實施中的注意點

權限管理的主要目標是，減少授權進入受控區進行機器特定操作人員受到危險能量傷害的風險。授權方案設計前，設計授權人員在危險區作業的危險能量控制方案非常重要。危險能量的控制方法可以參考標準GB/T 33579-2017《機械安全 危險能量控制方法 上鎖/掛牌》和將要發布的國標《機械安全 危險能量控制 通用規范》征求意見稿。

危險能量的風險，應按下列順序采取風險減小措施：

1.通過本質安全設計消除危險；

2.使用防護裝置、保護裝置等安全防護裝置進行安全防護；

3.盡可能控制任何剩余風險：一是建立健全安全工作制度；二是設立危險警示標志并進行人員培訓。

在機器投入使用前，其最終用戶應按照 GB/T 15706-2012第5章對機器進行風險評估，以使操作者充分了解機器存在的危險能量并采取相應的控制措施，實現與機器的安全交互。應根據風險評估結果確定在機器調試、正常運行、維護和維修期間采用的危險能量控制方法，以及安全防護措施。危險能量控制的決策圖，如圖4所示。

圖4 危險能量控制決策圖

在某些情況下，根據風險評估結果也可以確定在不需要安全隔離的情況下執行某些任務（如裝載/卸載物料、檢查、微調、潤滑或疏通等），并依靠控制系統有關防止意外啟動的安全部件，正常地執行規定功能。執行上述任務前，需要將機器置于安全狀態。聯鎖依靠控制裝置（如開關、繼電器和接觸器）使機器進入安全狀態，并在干預發生時保持機器安全。這類控制裝置有時會發生故障，因此安全相關控制系統的設計人員宜進行完整性設計，用以表示控制系統的可靠性水平?？刂葡到y的完整性是衡量其所提供的風險減小效果的一種度量方法，通常以控制系統的性能等級（見GB/T 16855.1）表示；或以安全完整性等級（見GB 28526）表示。

對特定任務的風險評估表明，不同的任務需要控制系統減小風險的等級不同。對更高風險的干預需要更可靠的控制系統，因此宜根據安裝在相關機器上的控制系統的完整性對每項干預進行評估，確認其是否提供了所要求的可靠性。

對于長時間的活動或可能全身進入危險區的情況，通常需要安全隔離。

對于短時間的小型任務，如果活動可以輕松快速完成，無需全身進入危險區，且不存在暴露的危險部件導致的持續的危險狀態，或防護裝置被關閉或被第二個人輕易破壞時，則可以接受依靠聯鎖隔離。

重要的是，那些提供機器供工作使用的單位/個人，要能夠證明他們有健全的系統來管理短時間和長時間的機械干預。這包括對將要執行的任務進行風險評估，針對任何聯鎖系統的安全完整性進行判定，選取安全可靠的控制措施，如隔離和鎖定程序以及安全工作制度，以確?？深A見任務的安全執行。

表2中對不同工作任務時如何進行風險減小和危險能量控制進行了總結。如前文所述，上鎖/掛牌LOTO依舊是危險能量控制首選的方式。上鎖/掛牌可以用傳統的方式，也可以用帶智能LOTO功能的智能產品。智能LOTO產品，通過自帶的LOTO程序邏輯、電子管理日志等功能，用工程的方式減小了管理的難度。

表2 機器不同工作任務的風險減小與能量控制方法示例表

除要注意能量控制方案設計外，生產商和集成商應將授權系統的使用信息作為重要資料提供給用戶，以幫助用戶制定合理的安全操作規程和進行必要的人員培訓。

培訓之所以重要，是因為執行任務的工作人員的能力，可以說是有關風險減小措施中的主要要求。只有具備必要知識和經驗的人員，或在具備安全地執行涉及危險能量控制的工作活動所需技術知識和經驗的人員的監督下，才能從事危險能量控制工作。

危險能量控制的管理人員應明確機器危險能量控制的操作者所承擔的任務，并能證明該人具有適當和足夠的知識與經驗來執行所指定的任務。

能力是確保安全的一個重要因素，機器危險能量控制的操作者應具備與其職責相對應的相關資質、實踐經驗和素質，包括：

1.為完成所需執行的任務接受必要的知識和經驗的培訓；

2.充分了解其負責的機器和系統的危險和故障模式；

3.對組織中使用的工作實踐的了解和理解；

4.具有與同伴、在其監督下工作的任何人和負責人進行有效溝通的能力；

5.對自己的局限性和約束的認識，無論是知識、經驗、設施、資源等。

培訓是獲得能力的主要方式之一，所有參與危險能量控制的用戶應接受安全有效地執行任務的培訓，包括：

1.在進行危險能量控制時，對典型危險的認識；

2.了解危險能量控制所涉及的機器和設備的故障模式；

3.對指定機器所存在風險的實際評估；

4.了解有關危險能量控制失效的因素。

能力不僅僅是技能和經驗，還包括態度。部分智能授權系統對人員身份進行識別，可與培訓系統聯通數據，獲取人員技能、經驗等信息，但對人員的態度識別仍然缺少可靠的技術手段。人的不安全行為是風險因素中最不確定的要素，下篇進行的智能安全預警方案，將就如何減小安全防護對于人安全意識的依賴展開詳細介紹。