GBT 41862-2022 土方及矿山机械 自主和半自主机器系统安全

国家标准化管理委员会国家市场监督管理总局发布国家标准化管理委员会I V 1 1 23.1术语和定义 2 5 64.1一般要求 6 64.3报警装置和安全标志 7 74.5机器通道系统 74.6制动和转向 74.7适应环境条件 9 9 5.1概述 5.2风险和故障模式 10 6.1概述 7.2风险和故障模式 8导航系统 8.1概述 8.2风险 13 Ⅱ 10.3通信系统要求 10.4安全信息 11ASAM监管系统 12.1权限和安全 12.2AOZ通道和警告 12.3操作风险 13ASAMS现场操作程序 17使用信息 17.1安全标签和机器标记 附录A(资料性)重大危险源清单 附录B(资料性)安全与风险管理程序 22 25附录D(资料性)出入控制系统 27附录E(资料性)变更管理——采矿示例 29附录F(资料性)监督 31附录G(资料性)调试 附录H(资料性)运行危险控制 附录I(资料性)验证是否符合要求的表格 35 42 3Ⅲ表1视觉参考 7表A.1ASAMS的附加危险 20表L.1符合性验证用表格 表L.2验证是否符合要求的表格 35V本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定1本文件规定了土方作业和矿山作业中使用的自主和半自主机器(ASAM),以及自主或半自主机器系统(ASAMS)的安全要求。本文件规定了机器及其相关系统和基础设施(包括硬件和软件)的安全准则，并提供了在机器和系统的生命周期中，在指定功能环境下的安全使用指南。本文件还定义了与本文件适用于ISO6165中定义的土方机械产品以及用于露天或地下的可移动式矿山机械的自主ISO20474、ISO19296)规定。本文件针对按预期用途使用时与ASAMS相关的本文件不适用于远程控制能力(由ISO15817规定)或特定功能的自动化特性，除非这些功能被用下列文件中的内容通过文中的规范性引用而构成本文件必不本文件。土方机械轮胎式机器转向要求(ISO5010:2007,IDT)机械安全设计通则风险评估与风险减小(ISO12100:2010,IDT)土方机械履带式机器制动系统的性能要求和试验方法(ISO10265:ISO2867土方机械通道装置(Earth-movingmachinery—Accesssystems)ISO3450:2011土方机械轮胎式或高速橡胶履带式机器制动系统的性能要求和试验方法(Earth-movingmachinery—Wheeledorhigh-speedrubber-trackedmachimentsandtestproceduresforbrakingsISO6165土方机械基本类型识别、术语和定义(Earth-movingmachinery—Basictypes—ISO9533土方机械机载的声响行驶报警和前进喇叭试验方法和性能准则(Earth-movingmachinery—Machine-mountedaISO12100机械安全设计通则风险评估与风险减小(Safetyofmachinery—General2GB/T41862—2022/ISprinciplesfordesign—Riskassessmentandriskreduction)ISO13766-1土方机械与建筑施工机械内部电源机器的电磁兼容性(EMC)第1部分：典型电magneticcompatibility(EMC)ofmachineswithinternalEMCrequirementsundertypicalelISO13766-2土方机械与建筑施工机械内部电源机器的电磁兼容性(EMC)第2部分：功能安全的EMC附加要求(Earth-movingmachinebuildingconstructionmachinery—Electromagneticcom-patibility(EMC)ofmachineswithinternalelectricalpowersupply—Part2:AdditionaISO19296矿山机械地下作业移动机械机械安全(Mining-Mobilemachinesworkingun-ISO20474-1土方机械安全第1部分：通用要求(Earth-movingmachinery—Safety—Part1:3安全ASAM状态显示通信网络激光用户界面定位通信网关通信网关环境感知模式指示远程停车激光雷达相机触觉其他惯性相对其他图1典型ASAMS部件ASAM监管系统ASAMsupervisorsy4具有特定的自动控制功能，操作人员可以借此全面控制并单独负责安全操作，也能够通过手动操作人员向自主或半自主机器系统提供信息或控制的介入行为，如自主模式(3.1.3)和手动模式保护层layersofprotection为防止或解决导致不安全后果的潜在危险事件而采取的独立控制装置的安全运行。56控制系统中安全相关的部件应符合相应的功能安全性能等级，参见ISO13849、ISO19014、用于地下矿用机械ASAM。如果机器未配备车载操作人员位置，则与车载操作人员相关的要求不7的全停系统。远程停止系统应能使操作人员将远程停止装置要求范围(基于风险评估)内的所有描述/观测用于指示机器处于手动模式下。含有手动指示装置是用以确保在ASAM上总是至少有一个指示装置。如果不采用手动灯，则应有方法能诊断自主8则可用该条件下ASAMS允许的最大速度来证实机器符合ISO3450的要求。例如，如果在8%～10%制动距离为使用ISO3450:2011的表3和40km/h计算出的结果。章的要求。如果可耗尽能源值低于ISO1GB/T19929—2014第5章~第7章适用于履带式ASAM,但GB/T19929—2014的6.1.3所述的带式ASAM的试验报告应符合GB/T199296.2要求7感知如果需要测试能力和校准能力以确保感知系统按照系统要求运行，则ASAMS集成商应提供此类h)不反射激光束的透明或深色物体；i)未检测到负实体(地形上的洞);j)用于对象检测或分类系统的处理器上的其他应用程序或计算负载导致的延迟增加。a)灰尘或其他遮蔽物反射的能量足以归类为物体；b)发送器或接收器上的材料被错误地检测为物体。d)如果系统状态不足以满足要求的精度(这可能是一个取决于ASAMS状态的动态要求),则在AOZ中运行的机器宜在使用相同通信协议的网络上进行管理，并且宜共享安全关键消息的b)ASAM监管系统应定期验证与在其控制下的自主机器的通信情况，如果通信验证失败，●控制室的备用电源；●故障转移能力。GB/T41862—2022/IS与ASAMS互动的人员宜理解其活动在ASAMS调试、运行和维护期间可能产生的影响，也宜b)监测机器性能的场地要求；d)如何报告事故。—-使用操作人员培训和发展计划。系统集成商应记录ASAMS要求的任何附加个人防护设备(PPE)。运行规程的设计和运用宜充分解决附录H所列事项。应使用以下一种或多种方法的组合来验证本文件的要求是否已纳入ASAMS的设计和集成中：b)外观检查；的制造商进行评定。附录I提供了可能用于说明符合个别要求的表格。各方宜创建其自己的合格评定清单并为其供应的产品提供该信息。(资料性)重大危险源清单一般危险、危险情况和事件根据ISO20474-1(土方机械)和ISO19296(矿山机械)中的规定进行处理。本文件各条主要涵盖ASAMS的特定风险，如表A.1所述。表A.1ASAMS的附加危险章条号1从料堆或出料点提取物料，导致突然或意外的物质流动以对其他机器或人员造成危害的方式倾卸物料2电力中断34绝对位置不准确相对位置不准确方向不准确不存在的位置、方向或注册信息与其他机器碰撞，以及因错误导航造成的ASAM损坏或场地损坏人员跟踪不准确5由于照明条件差，感知结果不可靠由于ASAM倾斜而隐藏的障碍物由于机器振动或运动，导致传感器错位由于对象移动速度太快，无法检测到物体太小或不能反射回接收器的方向表A.1ASAMS的附加危险(续)章条号未检测到负实体(地形中的洞)由于在用于对象检测或分类系统的处理器上加载其他应用程序或计算而导致的延迟增加对不存在物体的错误检测姿态系统错误导致机器位置或方向不准确无法获取环境感知信息地形数据不准确降额信息缺失定位不准确(由于GNSS校正损失)规划信息不准确人体工程学或人为因素，可能导致操作模式意外切换而失去控制在手动和自主切换工作区域之前对工作区域的变更捕捉不当自然现象由于与基础设施和其他现有系统的集成不好而导致的操作错误6失去远程启动消防系统的能力 3)改变可能性(如将特定功能限制于授权人员);(资料性)将ASAMS整合到现场规划过程中工作场地操作人员宜仔细评估他们希望自动化的原因。他们宜在现场代表和有关专家的支持下，C.2原则通过实施控制层次，可以有效地处置风险。采矿作业宜能够证明与ASAMS相关的危险正在合理a)工程和系统控制在安全过程和实践中的应用；b)修改已建立的计划和操作过程；c)验证系统数据(如勘测),以验证现场设计和计划；e)积极成果在非自主作业中的应用。现场设计师和规划师宜确保工作区设计和施工与自主性兼容，并尽量减●燃料设施；●破碎机或溜矿井；●支垛空间；●服务设施(如电网、排水孔)。——激光束1)交通管理2)自主区域的出入口；3)自主区域工作场所检查；4)在自主设备附近工作；GB/T41862—2022/ISO17757:d)人员1)组织结构和安全控制——应考虑新的角色和组织结构；2)在系统实施前的培训和能力评估比实施系统更具有挑战性设备供应商和服务供应商3)当工作程序、场地或设备发生变化时，确保对受影响的人员进行重新培训和重新评估的系1)实施策略；2)将ASAMS集成到作业中；(资料性)b)确保按照系统集成商文件进行工作；d)定期与受工作影响的人员沟通；g)确认操作风险登记表反映了工作和关键任务的风险分析；j)交流从事件中获得的知识。c)在自主模式下启动第一个ASAM之前，应进行明确的沟通，以便给人员足够的时间离(资料性)●工作描述，●自主运行带来的变化； ●系统更新和升级，●通信协议和注意事项(如无线网络),章条号ASAMS应符合ISO13766-1和ISO13766-2的EMC要求，但用于低电磁辐(如服务器机房、办公区)的除外文件编号xxl11章条号ASAMS应符合本章的安全要求和/或保护/风险降应按照ISO12100的原则完成ASAMS的风险评估过程。作为分，应将所有已识别的风险降低到可接受的风险水平。附录风险评估的一般信息。风险评估的结果应正式记录控制系统中安全相关的部件应符合相应的功能安全性能等级，参见ISO13849、ASAMS应符合ISO13766-1和ISO13766-2的EMC要求，但用于低电磁辐(如服务器机房、办公区)的部件除外如果ASAMS包含远程ASAM监管系统，该系统应具备全ASAM置于停止状态后，重新启动机器运动应需要操作人当风险评估显示需要时，ASAMS应配备一个额外的远程停止系统，该系统区别于远程停止系统应能使人将远程停止装置要求范围(基于风险评估置于停止状态。或者，远程停止装置可以将所有适用的AOZ中的所ASAM置于停止状态后，需要操作人员干预才能重新启动机GB/T41862—2022/IS表1.2验证是否符合要求的表格(续)章条号ASAM还应具有指示ASAM处于访问模式的方法，在这种模式下，如果没有预，ASAM将不会移动用于指示机器处于手动模式下。含有手动指示装置是用以确少有一个指示装置。如果不采用手动灯，则应有方法能诊断使用指示装置处，指示装置应清晰可见，以便能够在与机器处如果提供警告装置，则应符合ISO9533如果风险评估有要求，则应提供消防系统。其激活的方法(对于ASAM上进入频率超过每30天一次的所有区域，应提供符合ISO2867要求的4.6制动和转向所有ASAMS应具有使机器停止的车载能力当ASAM在规定的工作环境下运行时，控制系统应能使机器在保持安全运行的同时进行制动(如在不利条件下制动)ASAMS应有相关规定，确保在机器以自主模式投入运行之前，制动系统和转已达到安全工作温度和压力对于ASAM,制动性能应从机器制动子系统收到车载命令开始测除适用于车载操作人员的特殊要求外，轮式ASAM制动系统的试验应符合ISO3450:2011第4章的要求。ISO3450:2011的4.9中规定的储存能源警告装置当检测到制动储能耗损时，ASAMS应保持安全状态有关制动系统和定期验证说明的ISO3450:2011的4.12.2适用于册、标签或提供制动器信息的其他方法应在操作人ISO3450:2011的第5章和第6章适用于轮式ASAM,但ISO3450:2011的6.2除外，该条仅适用于配备有车载操作人员位置的机器。测试应在手动模式(车载操作人员，如适用)和自主模式两种模式下进行。可能不需要测量或报告控制力。轮式ASAM的试验报告应符合ISO3450:2011第7章的履带式ASAM制动系统的试验应符合GB/T19929—2014第4章的要求，但GB/T19929—2014的4.2除外。GB/T19929—2014的4.4中规定的有关制动系统和定期验证说明的GB/T19929—2014第7章适用于履带式ASAM,但手册、标签或提供制动器信息的其他方法应在操作人员章条号GB/T19929—2014的第5章～第7章适用于履带式ASAM,但GB/T1992的6.1.3所述的控制力除外，该条仅适用于配备有车载操作人员位置的机器。测试应在手动模式(车载操作人员，如适用)和自主模式两种模式下或报告仅适用于配备有车载操作人员位置的机器。履带式GB/T19929—2014的第5章～第7章适用于履带式ASAM,但GB/T1992的6.1.3所述的控制力除外，该条仅适用于配备有车载操作人员位置的机器。测试应在手动模式(车载操作人员，如适用)和自主模式两种模式下或报告仅适用于配备有车载操作人员位置的机器。履带式除仅适用于车载操作人员的特殊要求外，在地下工作的移动式采矿ASAM的制动轮式ASAM的转向系统应符合GB/T14781的要求，但有GB/T14781—2014中4.1.1、4.1.2和4.1.10的一般要求仅适用于配备员位置的机器，但GB/T14781—2014的4.1.1.3和4.1.1.4除外，无论是否有车载操作人员位置，均应适用GB/T14781—2014中6.4的性能要求适用于ASAM,GB/T14和6.3的性能要求仅适用于带车载操作人员位置的机器。此外，当电子转向系统的任何部件故障或无法维持安全运行时，ASAMS应向将GB/T14781—2014的4.3替换为以下要求：如果ASAM转向控子控制系统发生故障，则ASAM应保持ASAMS风险评如果转向系统不满足转向性能要求，则应限制ASAM操作(例如，速度、坡度、负载、自主模式)以保持安全状态根据风险评估，只要环境条件的任何变化在确定的限制范围内，A根据适用情况，ASAM电气和电子系统应符合ISO20474-1或ISO19296中电气和电子系统的一般机器要求机器电子设备突然失去电力会导致不良和潜在的危险结果。AS系统故障作出响应，包括所有影响机器运动的控制器(ECM、ECU)的电力(电源)电源应能维持机器系统达到停止状态并保持安全状态的能量在自主模式下运行时，ASAM应具有足够的电力，包括：a)为预期环境条件提供充足的电池储备；b)足够的交流发电机容量，用于额外的自主相关电子设备；c)为提高载流能力而充分校核过的配线章条号当机器在运行过程中无意中失去电力时，ASAM应保持安全状态，如果风险评估要ASAM应具有足够的电力容量，以在所有预期操作和环境条件下(如低怠速、夜间)支持自主电子系统所需的额外负载(包括常规的机器要求)5定位和方向(POSE)ASAM的姿态系统应有方法检测系统状态，例如，测量误差概率、精度、系统状态能够根据ASAMS的状态动态变化，当系统状6数字地形地图(DTM)DTM准确度不足的情况下，ASAMS应保持安全状态。故障和劣化可包括：a)DTM准确度的损失或劣化，其准确度因道路或场地风化、的改变而劣化；b)DTM没有正确校准或与现有地形对齐；c)ASAM上加载或激活DTM的过时版本。当DTM用于维持安全运行条件且DTM由ASAMS绘制，在这种情况下，在地形地图创建或区域测量期间，应监控姿态系统的状态。在绘制期间，宜注意姿态系统的精度或精度状态，以确保在DTM创建和验证期间如果需要测试能力和校准能力以确保感知系统按照系统要求商应提供此类能力车载ASAM或ASAMS感知系统的系统要求应基于风险评估、见度、正常运行)和工作地形(如地面、地下、开阔区域、隧道)中保持ASAM的安全状态根据风险评估要求，感知系统应能够检测到所需区域(如预期体，无论这些物体所处的坡度为正或负根据风险评估，ASAMS应能够检测感知系统何时不能达到最低在安全状态。寸、形状和反射率、感知范围、角度覆盖范围章条号当按照规定的操作环境和条件进行操作时，ASAMS应能够保持安全的航向和速度当在规定的环境中运行时，ASAM导航系统应能够检测到其不符合规定要求的如果系统状态不足以满足要求的精度(这可能是一个取决于应对ASAM使用的所有路径或区域进行校验，以确保在所有下都能安全通过。校验可由ASAMS或胜任的人员完成根据应用情况、任务规划要求和风险评估本身，所有风险应作任务规划应避免将ASAM引导至已知的危险路径。路径的ASAMS或与ASAMS相互作用的人或某些明确定义的两者如果ASAMS负责确定与路径相关的危险，则ASAMS应能够确定所有合理预期的任务规划不应指示ASAM产生危险状况，例如，以导致物料意外中提取物料，以对其他机器造成危险的方式倾卸物料10通信和网络10.3通信系统要求如果风险评估显示有必要，ASAMS应具有故障安全装置(例如果风险评估有要求，ASAMS应具有检测通信丢失、通信降级或通信损坏的方法。这应包括单向和双向通信损失。降级通信可能包括丢失机器应具有激活受控停止的措施，并在通信丢失、损坏或延应为ASAMS提供网络空间安全。应采取措施阻止未经授权ASAMS。这种方法的可接受性需要根据风险评估来确定。合适的方法包括理访问、身份验证、使用防火墙、数据加密和10.4安全信息在AOZ中运行的机器宜在使用相同通信协议的网络上进行管理以下信息被视为安全关键信息，应根据风险评估的要求进行沟通：a)紧急通道上的启动警告；b)网络连接的性能参数，如服务质量；c)定位和态势信息，如机器姿态和操作模式；d)现场地图章条号11ASAM监管系统11.2要求如果风险评估要求，ASAM监管系统应能够与A0Z中的所有机器通信ASAM监管系统应定期验证与在其控制下的自主机器的通信情况。如果通失败，ASAM监管系统应根据风险评估采取适当行动在一个控制室停运的情况下，所有自主机器——控制室的备用电源；——地形地图或其他关键安全数据的备份；——故障转移能力12AOZ通道、权限和安全12.1权限和安全根据风险评估，应建立管理控制或工程控制，防止未经授权进入A的出口当风险评估要求时，在AOZ内作业的每台机器和人员应由受监控人员或车辆进行-———受监控人员、车辆及机器的位置及准确性；——受监控人员、车辆及机器的航向及速度；——受监控人员或车辆与ASAM之间的最小间距；——受监控车辆或人员与受监控护送人员的最大间距；——预期处于AOZ中的持续时间应采取措施阻止未经授权访问和控制ASAMS。可接受的方12.2AOZ通道和警告在每个指定的入口和出口处，应提供清晰可见的AOZ指示。如果控制系统(见附录D),则宜对其进行监控，并宜根据风险评估采取适当措施以防出12.4模式转换宜特别注意模式转换事项。应提供方法(如物理开关、PIN系统)防止可能导致不安全状况(如无意、意外或未经授权的动作)的模式转换。模式转换程序宜考虑以下-—具有通过锁定过程物理禁用所有自主功能的能力；——具有从安全位置进入自主模式的能力；13ASAMS现场操作程序13.1一般要求应向监督人员和操作人员说明系统功能和要执行的具体任务，章条号13.2事件记录13.4文件和培训操作人员和监督人员应具备安全完成任务所需的信息和培训。这些信息包——系统集成商提供的手册、规范和操作说明；-—操作的方针、程序和计划；ASAMS现场的操作程序和流程(如现场组织)应由现场经理制定和实施，并应提供机器参数设置或配置的必要文件(用户手册)。该文限制与ASAMS交互的人员应接受培训，以理解系统功能和险