GB/T 41862-2022 土方及矿山机械 自主和半自主机器系统安全.pdf
- 文档部分内容预览:
GB/T 41862-2022 土方及矿山机械 自主和半自主机器系统安全
自主运行区autonomousoperatingzone;AOz 自主区域autonomousarea 机器被授权以自主模式(3.1.3)运行的指定区域
自主运行区通道控制系统AOzaccesscontrolsystem 物理屏障或虚拟或电子系统,用于监视、授权和控制人员和设备在现有自主运行区(3.1.4)和其 之间的进出和转移。
数字地形地图digitalterr 用数字格式描述现场地形。
路桥图纸数字地形地图digitalterrainmap;DTM
访问模式approachmo
允许进自主或半自主机器操作的模式。
下列缩略语适用于本文件。
4安全要求和/或防护/风险降低措施
ASAM均应具有从安全距离、远距离进人停止状
如果ASAMS包含远程ASAM监管系统,该系统应具备全停系统,使操作人员能将处于监管下的 所有ASAM置于停止状态。 ASAM置于停止状态后,重新启动机器运动应需要操作人员干预。 制造商文件中宜提供全停系统的性能准则。 性能准则宜表明机器制动系统响应的预期延迟和最大延迟
4.2.3远程停止系统
当风险评估表明有需要时,ASAMS应配备一个附加的远程停止系统,该系统区别于4.2.2中规定 的全停系统。远程停止系统应能使操作人员将远程停止装置要求范围(基于风险评估)内的所有 ASAM置于停止状态,或是远程停止装置可将AOZ中所有ASAM置于停止状态。 ASAM置于停止状态后,重新启动机器运动时应需要操作人员干预。 制造商文件中宜提供远程停止系统性能准则。 性能准则宜表明机器制动系统响应的预期延迟和最大延迟
4.3警告装置和安全标志
4.3.1可视显示装置
应显示机器的工作模式, ,ASAM还应具有指示机器处于访问模 预,机器将不会移动
不准许使用这些颜色或方 致的模式指示方案。使用 处,指示装置应清晰可见 距离处识别操作模式。
ASAM宜能够提供与工作现场中载人机器在发动机启动、准备移动以及移动时的警报声相局 向警报。 示例:机器在执行给定动作前发出设定数量的喇叭声,移动时发出循环蜂鸣模式。 如果提供警报装置,应符合ISO9533的规定,
如果风险评估有要求,则应提供消防系统。 其激活的方法(如自动或远程)应由风险评估确定
对于ASAM上每30d至少进出一次的所有区域,应配备符合ISO2867要求的通道系统。
过于ASAMS,保持安全速度和有效前进方向的能力是必要条件。对于ASAM,用控制系统的指令
由于复杂性增加,需要增加下列安全规定: a)所有ASAMS应具有车载的使机器停止的能力; b)当ASAM在规定的工作环境下运行时,控制系统应能使机器在保持安全运行的同时进行制动 (如在不利条件下制动); ) ASAMS应有相关规定,确保在机器以自主模式投入运行之前,制动系统和转向系统已达到安 全工作温度和压力。
根据ISO3450或ISO10265的规定,人工操纵的机器的制动性能是从车载操作人员踩下制动踏板 的时间开始测量,直到机器停止。 对于ASAM,制动性能应从机器制动子系统收到车载制动命令开始测量,直到机器停止。 除适用于车载操作人员的特殊要求外,轮式ASAM制动系统应符合ISO3450:2011第4章的 要求。 当检测到制动储能耗损时,ASAMS应保持在安全状态下。 有关制动系统和定期检验说明的ISO3450:2011的4.12.2适用于轮式ASAM,但手册、标签或提 供制动器信息的其他方法应在操作人员所在的位置提供。 ISO3450:2011第5章和第6章适用于轮式ASAM,但ISO3450:2011的6.2除外,该条仅适用于 配备有车载操作人员位置的机器。测试应在手动模式(车载操作人员,如适用)和自主模式两种模式下 进行。可能不需要测量或报告操纵力。如果ASAMS不准许机器在ISO3450要求的测试速度下运行, 则可用该条件下ASAMS充许的最大速度来证实机器符合ISO3450的要求。例如,如果在8%~10% 的坡度上,ASAMS不准许速度超过40km/h,针对ISO3450:2011的6.5.5,测试速度为40km/h,最大 制动距离为使用ISO3450:2011的表3和40km/h计算出的结果。 轮式ASAM的试验报告应符合ISO3450:2011的第7章的要求。 除GB/T19929—2014的4.2和4.4外,履带式ASAM制动系统应符合GB/T19929—2014的第4 章的要求。如果可耗尽能源值低于IS010265:2008中6.1.4规定的辅助制动性能要求所要求的值, ASAMS应维持机器处于安全状态。 GB/T19929一2014第7章中有关制动系统和定期验证说明的要求适用于履带式ASAM,但手册、 标签或提供制动器信息的其他方法应在操作人员所在的位置提供。 GB/T19929—2014第5章第7章适用于履带式ASAM,但GB/T19929—2014的6.1.3所述的 操纵力除外,该条仅适用于配备有车载操作人员位置的机器。测试应在手动模式(车载操作人员,如适 用)和自主模式两种模式下进行。控制力的测量或报告仅适用于配备有车载操作人员位置的机器。履 带式ASAM的试验报告应符合GB/T19929一2014中第8章的要求。 除仅适用于车载操作人员的特殊要求外,在地下工作的移动式采矿用ASAM的制动系统应符合 ISO19296的要求。
轮式ASAM的转向系统应符合GB/T14781的要求,但有以下例外/修改。 a)GB/T14781一2014中4.1.1、4.1.2和4.1.10的一般要求仅适用于配备有车载操作人员位置 机器,但GB/T14781一2014的4.1.1.3和4.1.1.4除外,无论是否有车载操作人员位置,均 适用。
轮式ASAM的转向系统应符合GB/T14781的要求,但有以下例外/修改。 a)GB/T14781一2014中4.1.1、4.1.2和4.1.10的一般要求仅适用于配备有车载操作人员位置 机器,但GB/T14781一2014的4.1.1.3和4.1.1.4除外,无论是否有车载操作人员位置,均 适用。
GB/T41862—2022/ISO17757:2019
b)GB/T14781一2014中4.2.1的转向控制优先要求仅适用于手动操纵的机器。对于在自主模 式下运行的ASAM,传统方向盘在自主模式时可能没有任何优先权或没有能力将机器转向, 这一例外情况宜在操作人员手册中明确说明。 ) GB/T14781一2014第5章中的人体工程学要求仅适用于配备有车载操作人员位置的机器。 d)GB/T14781—2014中6.4的性能要求适用于ASAM,GB/T14781—2014中6.1、6.2和6.3的 性能要求仅适用于带车载操作人员位置的机器。 此外,当电子转向系统的任何部件故障或无法维持安全运行时,ASAMS应向操作人员发出 警报。 e) 除GB/T14781—2014的10.3.1和10.3.7外,GB/T14781—2014第10章中给出的转向试验 条款适用于本文件;对于ASAM,无需记录GB/T14781一2014中10.2.3和10.3.7规定的转 向力。如果ASAMS系统不准许机器在指定条件下按GB/T14781要求的测试速度运行,则 可用该条件下ASAMS允许的最大速度来证实机器符合GB/T14781的要求。在此情况下, 测试报告应标明测试速度。 f 将GB/T14781一2014的4.3替换为以下要求:如果ASAM转向控制器上的单个电子控制系 统发生故障,则ASAM应保持ASAMS风险评估所规定的安全状态。 ASAMS应对定期检查转向能力有规定。检查周期和方法(自动或手动)应基于风险评估。如果转 统不满足转向性能要求,则应限制ASAM操作(例如,速度、坡度、负载、自主模式)以保持安全 转向系统的定期检查可由ASAMS或操作人员执行
根据风险评估,只要环 道应。这些可能包 人员或使用自动化系统进
出超出非自主机器需求的额外需求。尤其重 是,ASAMS制造商或集成商需要考虑这些额外的电力需求
GB/T418622022/ISO17757.2019
当机器在运行过程中电力意外中断时,ASAM应保持安全状态,如果风险评估要求,宜进入停止 状态。 ASAM应具有足够的电力容量,以在所有预期操作和环境条件下(如怠速、夜间)支持自主电子系 统所需的额外负载(包括常规的机器要求)
5定位和方向(POSE)
ASAM使用的定位和方向系统可以包括各种技术,包括GNSS、伪卫星、经纬仪、IMUs、速度传 项角仪、激光扫描仪、雷达、无线三角测量和视觉系统。这些技术中的每一项都有其独特的特点。 求也将取决于应用情况。这些系统所需的定位和方向准确度或测量频率也取决于机器的速度
与机器不正确定位和方向相关的风险包括与其他机器碰撞、由于错误导航导致的ASAM损坏或场 地损坏、缺乏定位和方向感知层保护以及创建不正确的作业数字地形模型。 定位和方向系统的失效模式包括: a)使用全球坐标系的系统的绝对位置不准确; b)使用局部坐标系的系统的相对位置不准确; c)方向不准确; d)数字地形模型的注册信息不准确; e)不存在的位置,方向或注册信息
ASAM的方向和定位系统应有方法检测系统状态,例如,测量错误概率、精度、分辨率。 系统状态会根据ASAMS的状态动态变化,当不足以按要求的精度和准确度进行定位时,ASAM 应保持安全状态。 ASAMS宜具有足够独立的方式检测姿态,以确保在一个定位方式发生故障或劣化时,ASAM能 够保持安全状态。
6数字地形地图(DTM)
DTM用作维持安全运行条件的应用中,宜监测其有效性。 DTM准确度不足的情况下,ASAMS应保持安全状态。DTM故障和劣化可包括: a)I DTM准确度的损失或劣化,其准确度因道路或场地风化、道路或其他现场工作的改变而 劣化; b)I DTM没有正确校准或未复现现有地形; c)ASAM上加载或激活DTM的版本过时。 注:ASAM可能无法响应突然的地形变化。
DTM用作维持安全运行条件的应用中,宜监测其有效性。 DTM准确度不足的情况下,ASAMS应保持安全状态。DTM故障和劣化可包括: DTM准确度的损失或劣化,其准确度因道路或场地风化、道路或其他现场工作的改变而 劣化; b)I DTM没有正确校准或未复现现有地形; c)ASAM上加载或激活DTM的版本过时。 注:ASAM可能无法响应突然的地形变化。
当DTM用于维持安全运行条件且DTM由ASAMS绘制,在这种情况下,在地形地图创建或区域 测量期间应监控姿态系统的状态。在绘制期间,宜注意姿态系统的精度或精度状态,以确保在DTM创 建和验证期间正确加权地图数据,
感知系统包括感知传感器,用于捕获有关ASAM周围环境的信息,然后将信息传递给算法,以获得 检测、定位和识别(分类)所需要的相关信息。机器感知系统的目的是提供安全控制机器所需的信息,而 无需与操作人员交互。 如果需要测试能力和校准能力以确保感知系统按照系统要求运行,则ASAMS集成商应提供此类 能力。
7.2.1未检测到或延迟检测到物体
未能检测到障碍物或延迟检测到物体的例子有: a)因灰尘、雾、雪、雨或其他遮蔽物而被遮挡的物体; b) 由于照明条件差,感知结果变得不可靠; c 由于ASAM倾斜而隐藏的障碍物; d)地面不平,导致扫描平面发生变化,例如,当机器向下或向上倾斜时,激光束可能会击中地面或 指向天空; e) 导致传感器错位的机器振动或运动; 物体移动过快而无法检测到; g 物体太小或没有反射回接收器方向,如,雷达技术识别物体的能力可能取决于物体的有效雷达 横截面; h)不反射激光束的透明或深色物体; i)未检测到负实体(地形上的洞); 用于对象检测或分类系统的处理器上
7.2.2对不存在物体的错误检测
错误检测的例子有: a)灰尘或其他遮蔽物反射的能量足以归类为物体; b)发送器或接收器上的材料被错误地检测为物体。
7.2.3检测到的物体位置错误
位置错误的例子有: a)传感器失准导致位置估计不准确; b) 姿态系统错误,导致机器位置或方向不准确; c)传感器安装的振动导致的传感器运动,而感知系统未计算在内:
GB/T418622022/ISO17757.2019
d)灰尘或模糊物使边缘模糊。
7.2.4对象分类错误
对象分类错误的例子有: a)灰尘或模糊物使边缘模糊; b)分类器训练或校验不足,
a)车载ASAM或ASAM感知系统的要求应基于风险评估、机器特性(如速度、能见度、正常运 行)和工作地形(如地面、地下、开阔区域、隧道); b 感知系统应在与预期工作环境(如地形、灰尘、天气条件、照明条件)的任何互动过程中保持 ASAM的安全状态; C 根据风险评估要求,感知系统应能够检测到所需区域(如预期的行进路径)内的物体,无论这些 物体所处的坡度为正或负; d) 根据风险评估,ASAMS应能够检测感知系统何时不能达到最低要求,并将机器维持在安全 状态; e) 当感知系统不能正常工作时,宜通知操作人员或ASAM监管系统; 必要时,根据风险评估,应在用户手册中说明感知系统的操作局限性,例如,目标尺寸、形状和 反射率、感知范围、角度爱盖范围。
ASAM的导航系统可以使用ASAM的绝对位置或相对位置来导航预定路径或动态确定路径,以 满足ASAMS的目标。系统需求将取决于应用情况和风险评估。导航精度也取决于机器的速度和位 置等因素。
与ASAM导航相关的风险包括ASAM在AOZ内与其他机器、基础设施和人员的碰撞或损坏。这 可能是由于不准确的定位和方向信息、不兼容的坐标系统、不精确的导航控制、规划不当或不准确的 DTM造成的
a)有关POSE系统和DTM的要求见本文件的POSE和DTM章节; b) 当按照规定的操作环境和条件进行操作时,ASAMS应能够保持安全的航向和速度; C 当在规定的环境中运行时,ASAM导航系统应能够检测到其不符合规定要求的ASAM状态 和环境; 如果系统状态不足以满足要求的精度(这可能是一个取决于ASAMS状态的动态要求),则 ASAM应采取措施保持安全状态; e) 如果导航系统中有任何错误可能导致风险评估定义的不可接受的风险,宜通知操作人员; f 应对ASAM使用的所有路径或区域进行校验,以确保在所有合理预期的运行条件下都能安全 12
a)有关POSE系统和DTM的要求见本文件的POSE和DTM章节; b)当按照规定的操作环境和条件进行操作时,ASAMS应能够保持安全的航向和速度; C 当在规定的环境中运行时,ASAM导航系统应能够检测到其不符合规定要求的ASAM状态 和环境; d)如果系统状态不足以满足要求的精度(这可能是一个取决于ASAMS状态的动态要求),则 ASAM应采取措施保持安全状态; e)如果导航系统中有任何错误可能导致风险评估定义的不可接受的风险,宜通知操作人员; f)应对ASAM使用的所有路径或区域进行校验,以确保在所有合理预期的运行条件下都能安全
通过。校验可由ASAMS或胜任的人员完成。
GB/T418622022/ISO17757:2019
ASAMS使用的任务规划的功能差异很大,这取决于机器的类型及其应用。本章定义了 任务规划提供了一般要求。
a)与任务规划相关的主要风险是,规划可能指示ASAM去不应该去的地方,例如,穿过一条不存 在的或危险的路径。 b)任务规划的第二个风险是,规划可能指示ASAM去可能导致危险后果的地方,例如: ·以一种会导致突然或意外的物料流动的方式从料堆或出料点提取物料; ·以削弱其他机器或结构下方材料的方式提取物料; 以对其他机器或人员造成危险的方式倾卸物料,例如,自主电铲将物料倾卸在相邻机器 顶部。
a)根据应用情况、任务规划要求和风险评估本身,所有风险应作为风险评估过程的一部分予以注 意井减轻; 6) 任务规划人员应避免将ASAM导向已知的危险路径。路径的危险水平可以由ASAMS或与 ASAMS相互作用的人员或两者之间一些明确定义的组合来决定。如果ASAMS负责确定与 路径相关的危险,则ASAMS应能够确定所有合理预期的危险,并有方法将检测到的危险通知 任务规划人员。 任务规划不应指示ASAM产生危险状况,例如,以导致物料意外流动的方式从料堆中提取物料,以 对其他机器造成危险的方式倾卸物料。
ASAMS可能非常依赖通信。设计考虑因素包括行业标准、系统带宽和无线覆盖。带宽考虑因素 中包括支持机器和操作人员交互的要求。一个重要的操作问题是要意识到可能存在的高干扰水平区域 (例如,排队位置)。 在某些位置,可能对无线电通信实施限制
10.2风险和故障模式
通信和网络故障可能导致以下安全风险: a)关键性安全信号未及时送达,从而未避免碰撞,如无法远程停机或在紧急情况下停机; b)无法获取环境感知信息;
c) 地形数据不准确; d)1 命令输人丢失或延迟; e) 交叉口控制不足; f) 机器协调性损失; g) 降额信息缺失; 危险信息的丢失或延迟; i) 定位不准确(由于GNSS校正损失); j) 规划信息不准确; k) 人员跟踪不准确; 1) 启动消防系统的远程能力损失; m)错误的控制信息。
与通信相关的故障模式包括: a)通信中断; b) 通信降级,包括失去一个方向; 通信延迟; d) 通信错误; e) 被改动的通信; f) 重复通信; g)无序通信; h)通信泄露。
故障模式可能是以下任何一种情况的结果: a)噪声问题(无意干扰); b) 网络物理变化; c) 网络配置变更; d)石 硬件问题; 环境问题,如天气相关、太阳黑子; 改变拓扑结构; g) 电源问题; h) 故意的非法人侵或欺骗; i) 故意干扰; 无意的网络过载; k)有意的网络过载; 1 固有协议弱点(如缺乏安全性、缺乏容错机制、干扰的敏感性、未考虑不利的参与方等); m)听。
如果出现任何通信相关故障,ASAMS应保持安全运行。如果风险评估显示有必要,ASAMS应具 14
有故障安全装置(例如,通过主动监测、多个独立通信通道),以远程停止并保持安全状态。 如果风险评估有要求,ASAMS应具有检测通信丢失、通信降级或通信损坏的方法。这应包括单向 和双向通信损失。降级通信可能包括丢失数据包或无序数据包。ASAM应有措施在通信丢失、损坏或 延迟时保持安全状态。机器速度和当前操作环境宜与风险评估结合使用,以确定通信中断或通信降级 的最大可接受持续时间
10.3.2网络空间安全
应为ASAMS提供网络空间安全。应采取措施阻止未经授权的控制和欺骗或破坏ASAMS。这种 方法的可接受性需要根据风险评估来确定。合适的方法包括限制物理访问、身份验证、使用防火墙、数 据加密和限制站点外的外部连接。
在AOZ中运行的机器宜在使用相同通信协议的网络上进行管理,并且宜共享安全关键消息的 通信。 以下信息被视为安全关键信息,应根据风险评估的要求进行沟通: a)紧急通道上的启动警告; b) 网络连接的性能参数,如服务质量; c)定位和态势信息,如机器姿态和操作模式; d)现场地图。 宜指定所需消息的覆盖范围(所需收件人和范围)和频率。网络配置范围内的网络协议套件的元素 包括物理层、协议层、应用层和内容层
监管系统包含子系统,如: a) ASAMS用户界面和显示; b ASAM任务; 交通控制系统; 任务规划; e) 远程控制; f 环境感知; g) 地形/危害地图管理; h)ASAM状态显示; i) ASAM配置管理。 与监管系统相关的风险包括错误的分配、人工操作人员向ASAM发送不正确的指令、使用不正确/ 不匹配的地形地图/操作区域地图或使用不正确的机器参数(尺寸、坡度角等)。原因可能是人为错误、 便件或软件(系统)故障、数据损坏或监管系统中断(例如,计算机冻结、断电)。
如果ASAMS包括远程ASAM监管系统,本文件适用于以下条
服务质量标准GB/T418622022/IS017757.2019
如果风险评估要求,ASAM监管系统应能够与AOZ中的所有机器通信; b) ASAM监管系统应定期验证与在其控制下的自主机器的通信情况,如果通信验证失败, ASAM监管系统应根据风险评估采取适当行动; C 在一个控制室停运的情况下,所有自主机器均应保持安全状态; d) 根据风险评估,如有必要,穴余系统应提供: ·控制室的备用电源; ·地形地图或其他关键安全数据的备份; ·故魔转移能力
12AOZ通道、权限和安全
根据风险评估,应建立管理控制或工程控制,防止未经授权进人AOZ,并管理AOZ的出口。 当风险评估要求时,在AOZ内作业的每台机器和人员应由受监控人员或车辆进行监控或折 险评估宜考虑以下参数: 一受监控人员、车辆及机器的位置及准确性; 受监控人员、车辆及机器的航向及速度; 受监控人员或车辆与ASAM之间的最小间距 受监控车辆或人员与受监控护送人员的最大间距: 一目的地; 预期处于AOZ中的持续时间。 应采取措施阻止未经授权访问和控制ASAMS。可接受的方法需要根据风险评估确定。 示例:限制物理访间、用户身份验证
12.2AOZ通道和警告
在每个指定的人口和出口处航天标准,应提供清晰可 0亿指示。 如果使用了AOZ出入控制系统( D),则宜对其进行监控,并宜根据 措施以防出现故障
作为综合风险管理战略的一部分(见附录B)考虑的ASAMS的风险因素包括: a)未经授权的人员或设备进人AOZ; b)可能导致操作模式意外切换而失去控制的人体工程学或人为因素; c)对工作区域的变更捕捉不当,尤其是在手动和自主切换工作区域之前; d)不完整或不当的系统更新和编程变更 e 道路设计、区域划分或其他人为错误; f) 自然现象; g)恶意攻击; h)由于与基础设施或其他现有系统的集成不良而导致的操作错误
作为综合风险管理战略的一部分(见附录B)考虑的ASAMS的风险因素包括: a)未经授权的人员或设备进入AOZ; b)可能导致操作模式意外切换而失去控制的人体工程学或人为因素; c)对工作区域的变更捕捉不当,尤其是在手动和自主切换工作区域之前; d)不完整或不当的系统更新和编程变更 e 道路设计、区域划分或其他人为错误; 自然现象; g)恶意攻击; h)由于与基础设施或其他现有系统的集成不良而导致的操作错误。
....- 相关专题: