文 / 应露瑶 戴闻杰 汪中亨

宁波纬诚科技股份有限公司/全国机械安全标准化技术委员会智能制造安全工作组

“权限管理方案，是在物理隔离安全门的基础上加装授权进入受控区域的组件，以确保正确的人在正确的时间进入正确的区域。本篇简要介绍了权限管理方案的构成、权限管理方案的设计要点，并着重介绍权限管理方案实施中的注意点，供工厂、设备商、集成商等相关人员参考。”

在前两期文章中，分别介绍了物理隔离方案和联锁保护方案。物理隔离方案的防护目标是进行人机的物理隔离，防止人员非预期地进入和机械部件冲击来减小风险；联锁保护方案，则是在物理隔离的基础上加装各种保护装置，以避免设备的意外启动或危险运动对人造成伤害。

在设备正常运行区间人员不需要进入危险区时，可以只采用物理隔离的方案；若设备正常运行期间人员需要进入危险区，就需要物理隔离和联锁保护两种方案的组合使用。如果需要在设备进行一些特定的操作时，如机器设定、示教、过程转换、故障查找、清洗或维护时进入危险区，除了设计安全防护装置外，还要确保执行任务的人员有相应的能力。确定执行任务的工作人员的能力，可以说是有关风险减小措施中的主要要求。这种情况下，就需要设立对应的安全操作规程，以及在防护装置的安全门或其他通道上加装授权进入的组件，以确保执行特定任务的人员是具备该任务的操作权限的。

权限管理的概念以及对应到标准的设计要求并不复杂，而在实际项目的实施中，权限管理方案是业主方内部管理要求的工程化实现方式，往往需要根据不同企业的管理要求和不同的操作任务，结合物理隔离、联锁保护方案一起来设计方案。因此，本篇将着重介绍权限管理方案实施中的注意点。

一、什么是权限管理方案

本文中的“权限”，主要是指人员进入某个区域执行特定操作任务的权限。企业基于资产安全、信息安全、人员安全的考虑，对不同的系统都会有人员权限管理的需求。本文的“权限管理方案”，主要是指在物理隔离的安全门上加装授权进入系统，以确保正确的人在正确的时间进入正确的区域，降低区域内设备意外启动或不规范操作对人造成伤害的风险，尤其是电气、机械、液压、气动等危险能量在机器设定、示教、过程转换、故障查找、清洗或维护时可能造成授权操作的人员伤害的风险。授权和对危险能量进行控制，在这些特定操作中都很重要。在危险能量控制方法中，一般情况下首选的是上锁挂牌LOTO，同时在其中也蕴含着一定的权限管理逻辑。这部分内容将在实施要点章节中详细介绍。

普通的授权进入系统由识别组件和逻辑单元构成，人员由识别组件识别后，经由逻辑单元与数据库中预先录入的授权数据比对后，授予人员进入区域的权限。常见的授权进入系统，如图1和图2所示。

图1 一种常用的权限管理系统 PITreader

图2 一种常用的权限管理系统 Trapped Key 截留钥匙

此外，因其模式选择、事件日志等功能满足了管理需要，安全防护的智能授权系统成为应用趋势。国标《机械安全 安全防护智能授权系统设计通则》已在拟立项阶段。除了识别组件和逻辑单元之外，智能授权系统还有人机交互模块，如触摸显示屏，人员由识别组件识别后，经由逻辑单元与授权数据库中预先录入的授权数据比对后，授予人员通过人机交互模块操作的相应权限，交互界面则通过控制系统安全相关部件SRP/CS，按授权对系统进行控制并接受其数据反馈。结构完整的智能授权系统，如图3所示。

图3 一种带智能LOTO功能的智能授权系统

其中，识别组件包括人员身份标识和识别装置。人员身份标识可以是生物特征标识（如视网膜扫描、指纹）和/或分配给其使用的识别符（如射频标签、识别卡、密匙）。识别方式应根据实际需求和场景进行选择，常见的识别方式优缺点对比表，如表1所示。

表1 常见的人员身份识别方式对比表

值得注意的是，普通的授权系统和智能的授权系统都需要与安全防护装置一起使用，不能取代防护装置和保护装置。

二、权限管理方案的设计要求

作为普通与智能系统通用组件的识别组件，可采用任何能够实现身份验证的技术。智能授权系统的识别组件应能够用来记录控制区的人员出入情况。

识别组件的人员身份标识宜使用生物特征标识，如视网膜扫描、指纹；宜根据具体应用场景选择适合的人员身份标识，如需要戴手套的场合宜避免采用指纹，戴防护面罩的场合宜避免采用视网膜扫描。

识别组件的识别装置应能够识别所采用的人员身份标识，并将信息传输至逻辑单元。识别装置的位置应便于人员执行任务，并应考虑人类工效学要求。

智能授权系统设计前，集成商应审查机器的风险评估文件，并考虑任务分区以及相应的控制范围。

智能授权系统应能控制所有需要在危险区执行任务的操作模式，例如调节、设定、示教及故障排除。相应地，智能授权系统的功能应以GB/T 16655－2008《 机械安全 集成制造系统 基本要求》中5.1.3、8.2.2和8.4以及GB/T 15706－2012《机械安全设计通则 风险评估与风险减小》中6.2.11.9所描述IMS操作模式为基础。

智能授权系统是额外增加的层级，其作用是向SRP/CS的逻辑单元提供输入，然后根据授权针对所需执行的任务激活相应的控制或操作模式。智能授权系统从本质上说实现的是使能控制，属于安全功能，因此其设计应符合GB/T 16855.1规定的性能等级。智能授权系统可以是控制系统安全相关部件SRP/CS的一部分，也可以独立存在。

智能授权系统，宜提供以下功能：

1.识别人员；

2.查验所选择任务的授权与所识别人员是否匹配；

3.告知人员其被授权的任务；

4.激活与所选择任务对应的操作模式；

5.指示人员将要进入的区域。

智能授权系统的设计，宜至少考虑以下方面：

1.适合具体应用的识别组件；

2.识别装置相对于进出区域/路径的位置；

3.与授权卡片数据库的接口；

4.要求本地操作的任务；

5.用于本地操作的相关保护装置（如使能装置、SPE）；

6.显示的信息（如申请的任务、进出路径）。

人机交互模块应能够接受人员提出的请求并与逻辑单元进行信息交换，并根据逻辑单元的授权允许人员执行操作请求。根据具体需要，人机交互模块宜显示以下信息：

1.人员可以进入的任务区，任务区的进入路径以及必要时的离开路径；

2.所选择任务；

3.允许人员执行的任务；

4.响应执行安全相关操作请求的授权结果；

5.如果会发生自动/意外重新启动（见GB/T 15706－2012的6.3.3.2.5），则宜显示可进入的相邻任务区的主要信息，如操作模式。

智能授权系统可激活/禁止的安全功能，宜包括但不限于：

1.模式选择

2.重新启动；

3.复位；

4.释放将防护装置锁定在关闭位置的防护锁定装置（见GB/T 18831）。

智能授权系统集成商宜根据GB/T 16855.1和GB/T 16855.2，验证并确认智能授权系统整体作为使能/授权装置是否满足安全功能的要求。

权限管理的主要目标是，减少授权进入受控区进行机器特定操作人员受到危险能量伤害的风险。授权方案设计前，设计授权人员在危险区作业的危险能量控制方案非常重要。

三、权限管理方案实施中的注意点

权限管理的主要目标是，减少授权进入受控区进行机器特定操作人员受到危险能量伤害的风险。授权方案设计前，设计授权人员在危险区作业的危险能量控制方案非常重要。危险能量的控制方法可以参考标准GB/T 33579-2017《机械安全 危险能量控制方法 上锁/挂牌》和将要发布的国标《机械安全 危险能量控制 通用规范》征求意见稿。

危险能量的风险，应按下列顺序采取风险减小措施：

1.通过本质安全设计消除危险；

2.使用防护装置、保护装置等安全防护装置进行安全防护；

3.尽可能控制任何剩余风险：一是建立健全安全工作制度；二是设立危险警示标志并进行人员培训。

在机器投入使用前，其最终用户应按照 GB/T 15706-2012第5章对机器进行风险评估，以使操作者充分了解机器存在的危险能量并采取相应的控制措施，实现与机器的安全交互。应根据风险评估结果确定在机器调试、正常运行、维护和维修期间采用的危险能量控制方法，以及安全防护措施。危险能量控制的决策图，如图4所示。

图4 危险能量控制决策图

在某些情况下，根据风险评估结果也可以确定在不需要安全隔离的情况下执行某些任务（如装载/卸载物料、检查、微调、润滑或疏通等），并依靠控制系统有关防止意外启动的安全部件，正常地执行规定功能。执行上述任务前，需要将机器置于安全状态。联锁依靠控制装置（如开关、继电器和接触器）使机器进入安全状态，并在干预发生时保持机器安全。这类控制装置有时会发生故障，因此安全相关控制系统的设计人员宜进行完整性设计，用以表示控制系统的可靠性水平。控制系统的完整性是衡量其所提供的风险减小效果的一种度量方法，通常以控制系统的性能等级（见GB/T 16855.1）表示；或以安全完整性等级（见GB 28526）表示。

对特定任务的风险评估表明，不同的任务需要控制系统减小风险的等级不同。对更高风险的干预需要更可靠的控制系统，因此宜根据安装在相关机器上的控制系统的完整性对每项干预进行评估，确认其是否提供了所要求的可靠性。

对于长时间的活动或可能全身进入危险区的情况，通常需要安全隔离。

对于短时间的小型任务，如果活动可以轻松快速完成，无需全身进入危险区，且不存在暴露的危险部件导致的持续的危险状态，或防护装置被关闭或被第二个人轻易破坏时，则可以接受依靠联锁隔离。

重要的是，那些提供机器供工作使用的单位/个人，要能够证明他们有健全的系统来管理短时间和长时间的机械干预。这包括对将要执行的任务进行风险评估，针对任何联锁系统的安全完整性进行判定，选取安全可靠的控制措施，如隔离和锁定程序以及安全工作制度，以确保可预见任务的安全执行。

表2中对不同工作任务时如何进行风险减小和危险能量控制进行了总结。如前文所述，上锁/挂牌LOTO依旧是危险能量控制首选的方式。上锁/挂牌可以用传统的方式，也可以用带智能LOTO功能的智能产品。智能LOTO产品，通过自带的LOTO程序逻辑、电子管理日志等功能，用工程的方式减小了管理的难度。

表2 机器不同工作任务的风险减小与能量控制方法示例表

除要注意能量控制方案设计外，生产商和集成商应将授权系统的使用信息作为重要资料提供给用户，以帮助用户制定合理的安全操作规程和进行必要的人员培训。

培训之所以重要，是因为执行任务的工作人员的能力，可以说是有关风险减小措施中的主要要求。只有具备必要知识和经验的人员，或在具备安全地执行涉及危险能量控制的工作活动所需技术知识和经验的人员的监督下，才能从事危险能量控制工作。

危险能量控制的管理人员应明确机器危险能量控制的操作者所承担的任务，并能证明该人具有适当和足够的知识与经验来执行所指定的任务。

能力是确保安全的一个重要因素，机器危险能量控制的操作者应具备与其职责相对应的相关资质、实践经验和素质，包括：

1.为完成所需执行的任务接受必要的知识和经验的培训；

2.充分了解其负责的机器和系统的危险和故障模式；

3.对组织中使用的工作实践的了解和理解；

4.具有与同伴、在其监督下工作的任何人和负责人进行有效沟通的能力；

5.对自己的局限性和约束的认识，无论是知识、经验、设施、资源等。

培训是获得能力的主要方式之一，所有参与危险能量控制的用户应接受安全有效地执行任务的培训，包括：

1.在进行危险能量控制时，对典型危险的认识；

2.了解危险能量控制所涉及的机器和设备的故障模式；

3.对指定机器所存在风险的实际评估；

4.了解有关危险能量控制失效的因素。

能力不仅仅是技能和经验，还包括态度。部分智能授权系统对人员身份进行识别，可与培训系统联通数据，获取人员技能、经验等信息，但对人员的态度识别仍然缺少可靠的技术手段。人的不安全行为是风险因素中最不确定的要素，下篇进行的智能安全预警方案，将就如何减小安全防护对于人安全意识的依赖展开详细介绍。