國家標準化管理委員會國家市場監督管理總局發布國家標準化管理委員會I V 1 1 23.1術語和定義 2 5 64.1一般要求 6 64.3報警裝置和安全標志 7 74.5機器通道系統 74.6制動和轉向 74.7適應環境條件 9 9 5.1概述 5.2風險和故障模式 10 6.1概述 7.2風險和故障模式 8導航系統 8.1概述 8.2風險 13 Ⅱ 10.3通信系統要求 10.4安全信息 11ASAM監管系統 12.1權限和安全 12.2AOZ通道和警告 12.3操作風險 13ASAMS現場操作程序 17使用信息 17.1安全標簽和機器標記 附錄A(資料性)重大危險源清單 附錄B(資料性)安全與風險管理程序 22 25附錄D(資料性)出入控制系統 27附錄E(資料性)變更管理——采礦示例 29附錄F(資料性)監督 31附錄G(資料性)調試 附錄H(資料性)運行危險控制 附錄I(資料性)驗證是否符合要求的表格 35 42 3Ⅲ表1視覺參考 7表A.1ASAMS的附加危險 20表L.1符合性驗證用表格 表L.2驗證是否符合要求的表格 35V本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定1本文件規定了土方作業和礦山作業中使用的自主和半自主機器(ASAM),以及自主或半自主機器系統(ASAMS)的安全要求。本文件規定了機器及其相關系統和基礎設施(包括硬件和軟件)的安全準則，并提供了在機器和系統的生命周期中，在指定功能環境下的安全使用指南。本文件還定義了與本文件適用于ISO6165中定義的土方機械產品以及用于露天或地下的可移動式礦山機械的自主ISO20474、ISO19296)規定。本文件針對按預期用途使用時與ASAMS相關的本文件不適用于遠程控制能力(由ISO15817規定)或特定功能的自動化特性，除非這些功能被用下列文件中的內容通過文中的規范性引用而構成本文件必不本文件。土方機械輪胎式機器轉向要求(ISO5010:2007,IDT)機械安全設計通則風險評估與風險減小(ISO12100:2010,IDT)土方機械履帶式機器制動系統的性能要求和試驗方法(ISO10265:ISO2867土方機械通道裝置(Earth-movingmachinery—Accesssystems)ISO3450:2011土方機械輪胎式或高速橡膠履帶式機器制動系統的性能要求和試驗方法(Earth-movingmachinery—Wheeledorhigh-speedrubber-trackedmachimentsandtestproceduresforbrakingsISO6165土方機械基本類型識別、術語和定義(Earth-movingmachinery—Basictypes—ISO9533土方機械機載的聲響行駛報警和前進喇叭試驗方法和性能準則(Earth-movingmachinery—Machine-mountedaISO12100機械安全設計通則風險評估與風險減小(Safetyofmachinery—General2GB/T41862—2022/ISprinciplesfordesign—Riskassessmentandriskreduction)ISO13766-1土方機械與建筑施工機械內部電源機器的電磁兼容性(EMC)第1部分：典型電magneticcompatibility(EMC)ofmachineswithinternalEMCrequirementsundertypicalelISO13766-2土方機械與建筑施工機械內部電源機器的電磁兼容性(EMC)第2部分：功能安全的EMC附加要求(Earth-movingmachinebuildingconstructionmachinery—Electromagneticcom-patibility(EMC)ofmachineswithinternalelectricalpowersupply—Part2:AdditionaISO19296礦山機械地下作業移動機械機械安全(Mining-Mobilemachinesworkingun-ISO20474-1土方機械安全第1部分：通用要求(Earth-movingmachinery—Safety—Part1:3安全ASAM狀態顯示通信網絡激光用戶界面定位通信網關通信網關環境感知模式指示遠程停車激光雷達相機觸覺其他慣性相對其他圖1典型ASAMS部件ASAM監管系統ASAMsupervisorsy4具有特定的自動控制功能，操作人員可以借此全面控制并單獨負責安全操作，也能夠通過手動操作人員向自主或半自主機器系統提供信息或控制的介入行為，如自主模式(3.1.3)和手動模式保護層layersofprotection為防止或解決導致不安全后果的潛在危險事件而采取的獨立控制裝置的安全運行。56控制系統中安全相關的部件應符合相應的功能安全性能等級，參見ISO13849、ISO19014、用于地下礦用機械ASAM。如果機器未配備車載操作人員位置，則與車載操作人員相關的要求不7的全停系統。遠程停止系統應能使操作人員將遠程停止裝置要求范圍(基于風險評估)內的所有描述/觀測用于指示機器處于手動模式下。含有手動指示裝置是用以確保在ASAM上總是至少有一個指示裝置。如果不采用手動燈，則應有方法能診斷自主8則可用該條件下ASAMS允許的最大速度來證實機器符合ISO3450的要求。例如，如果在8%～10%制動距離為使用ISO3450:2011的表3和40km/h計算出的結果。章的要求。如果可耗盡能源值低于ISO1GB/T19929—2014第5章~第7章適用于履帶式ASAM,但GB/T19929—2014的6.1.3所述的帶式ASAM的試驗報告應符合GB/T199296.2要求7感知如果需要測試能力和校準能力以確保感知系統按照系統要求運行，則ASAMS集成商應提供此類h)不反射激光束的透明或深色物體；i)未檢測到負實體(地形上的洞);j)用于對象檢測或分類系統的處理器上的其他應用程序或計算負載導致的延遲增加。a)灰塵或其他遮蔽物反射的能量足以歸類為物體；b)發送器或接收器上的材料被錯誤地檢測為物體。d)如果系統狀態不足以滿足要求的精度(這可能是一個取決于ASAMS狀態的動態要求),則在AOZ中運行的機器宜在使用相同通信協議的網絡上進行管理，并且宜共享安全關鍵消息的b)ASAM監管系統應定期驗證與在其控制下的自主機器的通信情況，如果通信驗證失敗，●控制室的備用電源；●故障轉移能力。GB/T41862—2022/IS與ASAMS互動的人員宜理解其活動在ASAMS調試、運行和維護期間可能產生的影響，也宜b)監測機器性能的場地要求；d)如何報告事故。—-使用操作人員培訓和發展計劃。系統集成商應記錄ASAMS要求的任何附加個人防護設備(PPE)。運行規程的設計和運用宜充分解決附錄H所列事項。應使用以下一種或多種方法的組合來驗證本文件的要求是否已納入ASAMS的設計和集成中：b)外觀檢查；的制造商進行評定。附錄I提供了可能用于說明符合個別要求的表格。各方宜創建其自己的合格評定清單并為其供應的產品提供該信息。(資料性)重大危險源清單一般危險、危險情況和事件根據ISO20474-1(土方機械)和ISO19296(礦山機械)中的規定進行處理。本文件各條主要涵蓋ASAMS的特定風險，如表A.1所述。表A.1ASAMS的附加危險章條號1從料堆或出料點提取物料，導致突然或意外的物質流動以對其他機器或人員造成危害的方式傾卸物料2電力中斷34絕對位置不準確相對位置不準確方向不準確不存在的位置、方向或注冊信息與其他機器碰撞，以及因錯誤導航造成的ASAM損壞或場地損壞人員跟蹤不準確5由于照明條件差，感知結果不可靠由于ASAM傾斜而隱藏的障礙物由于機器振動或運動，導致傳感器錯位由于對象移動速度太快，無法檢測到物體太小或不能反射回接收器的方向表A.1ASAMS的附加危險(續)章條號未檢測到負實體(地形中的洞)由于在用于對象檢測或分類系統的處理器上加載其他應用程序或計算而導致的延遲增加對不存在物體的錯誤檢測姿態系統錯誤導致機器位置或方向不準確無法獲取環境感知信息地形數據不準確降額信息缺失定位不準確(由于GNSS校正損失)規劃信息不準確人體工程學或人為因素，可能導致操作模式意外切換而失去控制在手動和自主切換工作區域之前對工作區域的變更捕捉不當自然現象由于與基礎設施和其他現有系統的集成不好而導致的操作錯誤6失去遠程啟動消防系統的能力 3)改變可能性(如將特定功能限制于授權人員);(資料性)將ASAMS整合到現場規劃過程中工作場地操作人員宜仔細評估他們希望自動化的原因。他們宜在現場代表和有關專家的支持下，C.2原則通過實施控制層次，可以有效地處置風險。采礦作業宜能夠證明與ASAMS相關的危險正在合理a)工程和系統控制在安全過程和實踐中的應用；b)修改已建立的計劃和操作過程；c)驗證系統數據(如勘測),以驗證現場設計和計劃；e)積極成果在非自主作業中的應用。現場設計師和規劃師宜確保工作區設計和施工與自主性兼容，并盡量減●燃料設施；●破碎機或溜礦井；●支垛空間；●服務設施(如電網、排水孔)。——激光束1)交通管理2)自主區域的出入口；3)自主區域工作場所檢查；4)在自主設備附近工作；GB/T41862—2022/ISO17757:d)人員1)組織結構和安全控制——應考慮新的角色和組織結構；2)在系統實施前的培訓和能力評估比實施系統更具有挑戰性設備供應商和服務供應商3)當工作程序、場地或設備發生變化時，確保對受影響的人員進行重新培訓和重新評估的系1)實施策略；2)將ASAMS集成到作業中；(資料性)b)確保按照系統集成商文件進行工作；d)定期與受工作影響的人員溝通；g)確認操作風險登記表反映了工作和關鍵任務的風險分析；j)交流從事件中獲得的知識。c)在自主模式下啟動第一個ASAM之前，應進行明確的溝通，以便給人員足夠的時間離(資料性)●工作描述，●自主運行帶來的變化； ●系統更新和升級，●通信協議和注意事項(如無線網絡),章條號ASAMS應符合ISO13766-1和ISO13766-2的EMC要求，但用于低電磁輻(如服務器機房、辦公區)的除外文件編號xxl11章條號ASAMS應符合本章的安全要求和/或保護/風險降應按照ISO12100的原則完成ASAMS的風險評估過程。作為分，應將所有已識別的風險降低到可接受的風險水平。附錄風險評估的一般信息。風險評估的結果應正式記錄控制系統中安全相關的部件應符合相應的功能安全性能等級，參見ISO13849、ASAMS應符合ISO13766-1和ISO13766-2的EMC要求，但用于低電磁輻(如服務器機房、辦公區)的部件除外如果ASAMS包含遠程ASAM監管系統，該系統應具備全ASAM置于停止狀態后，重新啟動機器運動應需要操作人當風險評估顯示需要時，ASAMS應配備一個額外的遠程停止系統，該系統區別于遠程停止系統應能使人將遠程停止裝置要求范圍(基于風險評估置于停止狀態。或者，遠程停止裝置可以將所有適用的AOZ中的所ASAM置于停止狀態后，需要操作人員干預才能重新啟動機GB/T41862—2022/IS表1.2驗證是否符合要求的表格(續)章條號ASAM還應具有指示ASAM處于訪問模式的方法，在這種模式下，如果沒有預，ASAM將不會移動用于指示機器處于手動模式下。含有手動指示裝置是用以確少有一個指示裝置。如果不采用手動燈，則應有方法能診斷使用指示裝置處，指示裝置應清晰可見，以便能夠在與機器處如果提供警告裝置，則應符合ISO9533如果風險評估有要求，則應提供消防系統。其激活的方法(對于ASAM上進入頻率超過每30天一次的所有區域，應提供符合ISO2867要求的4.6制動和轉向所有ASAMS應具有使機器停止的車載能力當ASAM在規定的工作環境下運行時，控制系統應能使機器在保持安全運行的同時進行制動(如在不利條件下制動)ASAMS應有相關規定，確保在機器以自主模式投入運行之前，制動系統和轉已達到安全工作溫度和壓力對于ASAM,制動性能應從機器制動子系統收到車載命令開始測除適用于車載操作人員的特殊要求外，輪式ASAM制動系統的試驗應符合ISO3450:2011第4章的要求。ISO3450:2011的4.9中規定的儲存能源警告裝置當檢測到制動儲能耗損時，ASAMS應保持安全狀態有關制動系統和定期驗證說明的ISO3450:2011的4.12.2適用于冊、標簽或提供制動器信息的其他方法應在操作人ISO3450:2011的第5章和第6章適用于輪式ASAM,但ISO3450:2011的6.2除外，該條僅適用于配備有車載操作人員位置的機器。測試應在手動模式(車載操作人員，如適用)和自主模式兩種模式下進行。可能不需要測量或報告控制力。輪式ASAM的試驗報告應符合ISO3450:2011第7章的履帶式ASAM制動系統的試驗應符合GB/T19929—2014第4章的要求，但GB/T19929—2014的4.2除外。GB/T19929—2014的4.4中規定的有關制動系統和定期驗證說明的GB/T19929—2014第7章適用于履帶式ASAM,但手冊、標簽或提供制動器信息的其他方法應在操作人員章條號GB/T19929—2014的第5章～第7章適用于履帶式ASAM,但GB/T1992的6.1.3所述的控制力除外，該條僅適用于配備有車載操作人員位置的機器。測試應在手動模式(車載操作人員，如適用)和自主模式兩種模式下或報告僅適用于配備有車載操作人員位置的機器。履帶式GB/T19929—2014的第5章～第7章適用于履帶式ASAM,但GB/T1992的6.1.3所述的控制力除外，該條僅適用于配備有車載操作人員位置的機器。測試應在手動模式(車載操作人員，如適用)和自主模式兩種模式下或報告僅適用于配備有車載操作人員位置的機器。履帶式除僅適用于車載操作人員的特殊要求外，在地下工作的移動式采礦ASAM的制動輪式ASAM的轉向系統應符合GB/T14781的要求，但有GB/T14781—2014中4.1.1、4.1.2和4.1.10的一般要求僅適用于配備員位置的機器，但GB/T14781—2014的4.1.1.3和4.1.1.4除外，無論是否有車載操作人員位置，均應適用GB/T14781—2014中6.4的性能要求適用于ASAM,GB/T14和6.3的性能要求僅適用于帶車載操作人員位置的機器。此外，當電子轉向系統的任何部件故障或無法維持安全運行時，ASAMS應向將GB/T14781—2014的4.3替換為以下要求：如果ASAM轉向控子控制系統發生故障，則ASAM應保持ASAMS風險評如果轉向系統不滿足轉向性能要求，則應限制ASAM操作(例如，速度、坡度、負載、自主模式)以保持安全狀態根據風險評估，只要環境條件的任何變化在確定的限制范圍內，A根據適用情況，ASAM電氣和電子系統應符合ISO20474-1或ISO19296中電氣和電子系統的一般機器要求機器電子設備突然失去電力會導致不良和潛在的危險結果。AS系統故障作出響應，包括所有影響機器運動的控制器(ECM、ECU)的電力(電源)電源應能維持機器系統達到停止狀態并保持安全狀態的能量在自主模式下運行時，ASAM應具有足夠的電力，包括：a)為預期環境條件提供充足的電池儲備；b)足夠的交流發電機容量，用于額外的自主相關電子設備；c)為提高載流能力而充分校核過的配線章條號當機器在運行過程中無意中失去電力時，ASAM應保持安全狀態，如果風險評估要ASAM應具有足夠的電力容量，以在所有預期操作和環境條件下(如低怠速、夜間)支持自主電子系統所需的額外負載(包括常規的機器要求)5定位和方向(POSE)ASAM的姿態系統應有方法檢測系統狀態，例如，測量誤差概率、精度、系統狀態能夠根據ASAMS的狀態動態變化，當系統狀6數字地形地圖(DTM)DTM準確度不足的情況下，ASAMS應保持安全狀態。故障和劣化可包括：a)DTM準確度的損失或劣化，其準確度因道路或場地風化、的改變而劣化；b)DTM沒有正確校準或與現有地形對齊；c)ASAM上加載或激活DTM的過時版本。當DTM用于維持安全運行條件且DTM由ASAMS繪制，在這種情況下，在地形地圖創建或區域測量期間，應監控姿態系統的狀態。在繪制期間，宜注意姿態系統的精度或精度狀態，以確保在DTM創建和驗證期間如果需要測試能力和校準能力以確保感知系統按照系統要求商應提供此類能力車載ASAM或ASAMS感知系統的系統要求應基于風險評估、見度、正常運行)和工作地形(如地面、地下、開闊區域、隧道)中保持ASAM的安全狀態根據風險評估要求，感知系統應能夠檢測到所需區域(如預期體，無論這些物體所處的坡度為正或負根據風險評估，ASAMS應能夠檢測感知系統何時不能達到最低在安全狀態。寸、形狀和反射率、感知范圍、角度覆蓋范圍章條號當按照規定的操作環境和條件進行操作時，ASAMS應能夠保持安全的航向和速度當在規定的環境中運行時，ASAM導航系統應能夠檢測到其不符合規定要求的如果系統狀態不足以滿足要求的精度(這可能是一個取決于應對ASAM使用的所有路徑或區域進行校驗，以確保在所有下都能安全通過。校驗可由ASAMS或勝任的人員完成根據應用情況、任務規劃要求和風險評估本身，所有風險應作任務規劃應避免將ASAM引導至已知的危險路徑。路徑的ASAMS或與ASAMS相互作用的人或某些明確定義的兩者如果ASAMS負責確定與路徑相關的危險，則ASAMS應能夠確定所有合理預期的任務規劃不應指示ASAM產生危險狀況，例如，以導致物料意外中提取物料，以對其他機器造成危險的方式傾卸物料10通信和網絡10.3通信系統要求如果風險評估顯示有必要，ASAMS應具有故障安全裝置(例如果風險評估有要求，ASAMS應具有檢測通信丟失、通信降級或通信損壞的方法。這應包括單向和雙向通信損失。降級通信可能包括丟失機器應具有激活受控停止的措施，并在通信丟失、損壞或延應為ASAMS提供網絡空間安全。應采取措施阻止未經授權ASAMS。這種方法的可接受性需要根據風險評估來確定。合適的方法包括理訪問、身份驗證、使用防火墻、數據加密和10.4安全信息在AOZ中運行的機器宜在使用相同通信協議的網絡上進行管理以下信息被視為安全關鍵信息，應根據風險評估的要求進行溝通：a)緊急通道上的啟動警告；b)網絡連接的性能參數，如服務質量；c)定位和態勢信息，如機器姿態和操作模式；d)現場地圖章條號11ASAM監管系統11.2要求如果風險評估要求，ASAM監管系統應能夠與A0Z中的所有機器通信ASAM監管系統應定期驗證與在其控制下的自主機器的通信情況。如果通失敗，ASAM監管系統應根據風險評估采取適當行動在一個控制室停運的情況下，所有自主機器——控制室的備用電源；——地形地圖或其他關鍵安全數據的備份；——故障轉移能力12AOZ通道、權限和安全12.1權限和安全根據風險評估，應建立管理控制或工程控制，防止未經授權進入A的出口當風險評估要求時，在AOZ內作業的每臺機器和人員應由受監控人員或車輛進行-———受監控人員、車輛及機器的位置及準確性；——受監控人員、車輛及機器的航向及速度；——受監控人員或車輛與ASAM之間的最小間距；——受監控車輛或人員與受監控護送人員的最大間距；——預期處于AOZ中的持續時間應采取措施阻止未經授權訪問和控制ASAMS。可接受的方12.2AOZ通道和警告在每個指定的入口和出口處，應提供清晰可見的AOZ指示。如果控制系統(見附錄D),則宜對其進行監控，并宜根據風險評估采取適當措施以防出12.4模式轉換宜特別注意模式轉換事項。應提供方法(如物理開關、PIN系統)防止可能導致不安全狀況(如無意、意外或未經授權的動作)的模式轉換。模式轉換程序宜考慮以下-—具有通過鎖定過程物理禁用所有自主功能的能力；——具有從安全位置進入自主模式的能力；13ASAMS現場操作程序13.1一般要求應向監督人員和操作人員說明系統功能和要執行的具體任務，章條號13.2事件記錄13.4文件和培訓操作人員和監督人員應具備安全完成任務所需的信息和培訓。這些信息包——系統集成商提供的手冊、規范和操作說明；-—操作的方針、程序和計劃；ASAMS現場的操作程序和流程(如現場組織)應由現場經理制定和實施，并應提供機器參數設置或配置的必要文件(用戶手冊)。該文限制與ASAMS交互的人員應接受培訓，以理解系統功能和險